как решиться и что делать
- Статьи
- Что нужно знать Переводчику
- Оформление ИП для переводчика: как решиться и что делать
Тема оформления ИП с каждым годом набирает популярность среди переводчиков.
Действительно, вопрос, стоит ли становиться предпринимателем и какие шаги нужно проделать для этого, волнует многих. Сейчас всё большее число переводчиков решаются перейти в статус ИП, а бюро переводов предпочитают работать с переводчиками-предпринимателями при прочих равных условиях.
И всё-таки для многих решение оформить ИП кажется слишком серьезным и сложным шагом – переводчики-фрилансеры недолюбливают работу с документами, отмахиваются от ведения отчетности и боятся взять на себя дополнительную ответственность.
В чем преимущества регистрации ИП
- • Работая как ИП, переводчик сотрудничает с заказчиком легально и официально. ИП максимально оберегает от невыплат — вы можете быть уверены, что заказчик не поступит нечестным образом и не обманет вас.
- • Статус ИП делает переводчика привлекательнее в глазах заказчика: из мелкого исполнителя вы превращаетесь в надежного партнера.
- • Финансовая выгода для всех. Как для компаний, так и для самого предпринимателя уменьшаются налоговые отчисления по сравнению с работой через договор подряда, и ваше сотрудничество становится более выгодным.
- • Переводчик получает официальное постоянное трудоустройство, что упрощает, например, получение кредита или визы.
- • Как индивидуальный предприниматель, вы получаете больше возможностей для рекламы своих услуг, можете завести свой сайт и свободно размещать рекламу в интернете.
- • У вас появляется возможность развить свое большое дело, набрать людей в штат.
Конечно, если переводы для вас – это лишь нерегулярная подработка, и вы занимаетесь ими в свободное от основной деятельности время, то оформление ИП может быть лишним, и работа через договоры подряда будет, возможно, наиболее удобным для вас способом сотрудничества. Но если вы переводчик со стажем, серьезно занимаетесь переводами, и это ваша основная работа, если вы планируете продолжать заниматься переводческой деятельностью еще долгое время и развиваться в ней, у вас есть крупные заказчики, с которыми вы давно сотрудничаете, – смело оформляйте ИП.
Что нужно сделать для оформления ИП
Сложность оформления ИП – это миф из прошлых времён.
Всё еще можно встретить мнение о трудности регистрации индивидуального предпринимателя и о необходимости потратить на это много времени.
Не верьте. Сейчас процедура максимально упрощена, вам не понадобятся ни толстые папки бумаг, ни специальные связи, ни талант убеждения, чтобы зарегистрироваться как предпринимателю.
Пакет документов для оформления включает в себя минимум бумаг. Главное – это заявление, квитанция об оплате пошлины и паспорт. При регистрации необходимо указывать коды классификатора видов экономической деятельности (ОКВЭД). В случае с переводчиками нужный ОКВЭД – это «Предоставление секретарских, редакторских услуг и услуг по переводу».
Важно помнить, что подача документов осуществляется в налоговой инспекции только по месту регистрации. Помимо обращения в налоговую инспекцию, нужно обратиться в банк и завести специальный расчетный счет. Получать доходы на карту физического лица невозможно.
Сколько налогов должен платить индивидуальный предприниматель
Для переводчиков, которые привыкли работать самостоятельно, не планируют открыть компанию и набрать рабочих в штат, наиболее оптимальным вариантом будет упрощенная система налогообложения (УСНО).
В таком случае налоговая ставка окажется существенно ниже. Подать заявление о переходе на такую схему уплаты налогов удобнее непосредственно при регистрации.
Упрощенная схема может иметь два варианта: оплата налогов исходя только из ваших доходов или налоговая ставка с вычетом расходов на профессиональную деятельность. В первом случае налог будет составлять 6%, во втором 15%. Чаще всего переводческая деятельность не связана с большими тратами на ее осуществление, и схема с 6% налога является более привлекательной, однако, лучше заранее просчитать наиболее выгодный вариант. К тому же, в случае с уплатой налогов только от доходов нет необходимости фиксировать и подтверждать все профессиональные траты.
Помимо уплаты налогов предприниматель обязан платить отчисления в пенсионный фонд. Их размер будет зависеть от размера годового дохода. Вместе с тем за счет отчислений в пенсионный фонд, можно понизить налоговую ставку.
О чем нужно помнить предпринимателю
Главное, став индивидуальным предпринимателем, не забывайте об обязанностях, которые накладывает на вас предпринимательская деятельность: каждый год вы должны предоставлять информацию о доходах и расходах, вести учет и оплачивать налоги.
Даже самые небольшие гонорары всегда должны быть отражены в доходной отчетности.
Часто переводчики берут заказы из разных городов и даже стран. Здесь есть своя специфика, и вам необходимо будет посылать документы в другой город и ждать их подписания.
Кроме того, обратите внимание, что в порядке получения и осуществления деятельности ИП могут появляться изменения. Следите за поправками и проверяйте информацию в официальных источниках.
Все статьи
вопросы и ответы [Обновлено 2019]]
Smartcat участвует в тестировании нового экспериментального закона о профессиональном доходе, или закона о самозанятых, который вступит в силу с 2019 года.
Поэтому фрилансерам, работающим в Smartcat, будет проще декларировать свои доходы — если они сами этого захотят и выберут соответствующую опцию в настройках.
Переводческие компании по-прежнему смогут оплачивать работы фрилансеров в Smartcat независимо от статуса последних. Все новые возможности будут доступны в Smartcat с первого дня действия закона.
А теперь подробнее:
- В чём суть закона и как это будет работать?
- Как компании отчитываться в налоговую о выплатах самозанятым?
- Обязательно ли переводчикам регистрироваться как самозанятым?
- Какие есть сложности для переводческой компании?
- Что со всем этим делать?
- Как будет выглядеть работа с самозанятыми в Smartcat для переводческой компании?
- Какие выгоды Smartcat даёт переводчику?
- Будет ли государство теперь отслеживать платежи на карты?
В чём суть закона и как это будет работать?
Теперь переводчики смогут регистрироваться как самозанятые и платить налоги — 6% при работе с клиентами-юрлицами без ведения бухгалтерии.
Чтобы отчитываться о доходах, переводчику нужно будет установить специальное приложение на свой смартфон, зарегистрироваться в нём как самозанятому и декларировать суммы, пришедшие за работу. Приложение подключается к банковской карте, налог списывается автоматически.
При этом налог не дополняет существующие налоги, например НДФЛ, а заменяет их.
Изначально закон вводится не везде, а только в Москве, Московской и Калужской областях и Татарстане. В дальнейшем список, конечно, будет расширяться.
Как компании отчитываться в налоговую о выплатах самозанятым?
Переводчик должен будет выдавать заказчику чек из мобильного приложения за каждую полученную выплату, а тот — официально проводить эту сумму как расход.
Обязательно ли переводчикам регистрироваться как самозанятым?
Нет, это добровольное решение переводчика.
Какие есть сложности для переводческой компании?
Заказчику нужно чётко продумать схему работы с самозанятыми фрилансерами и постоянно следить, чтобы не было ошибок.
Допустим, переводческая компания договорилась с частью своих переводчиков, что они будут работать как самозанятые. Тогда:
Вам нужно обязательно проследить, что они действительно были зарегистрированы как самозанятые. В противном случае после оплаты работы переводчика налоговая может доначислить вам социальные налоги и НДФЛ за получателя-физлицо, что может оказаться очень затратным.
Закон работает не везде. Фрилансеры часто путешествуют, и как будет определяться их территория — до конца не ясно. Вроде бы это «территория, на которой переводчик осуществляет большую часть своей деятельности», но какую часть считать «большей», если переводчик, например, один месяц провёл на территории, подпадающей под закон, а другой — нет? В конечном счёте решение примет налоговая — и не факт, что их интерпретация совпадёт с вашей. Если нет — доначислят налоги.
Вам нужно будет дополнительно управлять этим процессом — помнить, с какими переводчиками вы работает как с ИП, с какими — как самозанятыми, а с какими — как с физлицами.
В случае самозанятых подтверждением вашего расхода будет чек из специального мобильного приложения, который вам нужно будет получать по каждой транзакции и включать в отчётность. В случае ИП или договора ГПХ это будут акты о выполненных работах. Нужно это помнить, по-разному вести документооборот для этих категорий, а также учитывать изменения статусов переводчиков.
Что со всем этим делать?
Проще всего — работать с выплатами переводчикам через Smartcat. Мы — одна из немногих площадок, участвующих в тестировании закона, поэтому вы сможете работать с самозанятыми с первого же дня действия закона.
Зарегистрированные в Smartcat переводчики при желании смогут автоматически декларировать доходы, получаемые через Smartcat. Также Smartcat будет автоматически проверять, зарегистрирован ли фрилансер как самозанятый и на какой территории, а также автоматически получать от него чек. Кроме того, мы имеем прямой доступ ко всем последним обновлениям закона и его технической платформы, поэтому сможем своевременно внедрять необходимые изменения и держать вас в курсе.
Как будет выглядеть работа с самозанятыми в Smartcat для переводческой компании?
Если вы уже автоматизируете выплаты через Smartcat, для вас ничего не изменится. Вы по-прежнему будете работать со Smartcat, как с единым поставщиком, кем бы ни были ваши переводчики — самозанятыми, ИП или физлицами. Вам не надо будет об этом думать, Smartcat гарантирует необходимые закрывающие документы и соответствие законодательству.
При этом, если доля ИП и самозанятых переводчиков, с которыми вы работаете в Smartcat, превысит 10%, мы снизим стоимость своих услуг, поскольку снизятся и наши транзакционные издержки.
Если вы ещё не пользуетесь автоматизацией выплат в Smartcat, то выход закона — хороший повод задуматься об этом. Cо Smartcat у вас всегда будет один поставщик с простым и понятным документооборотом, независимо от статусов ваших переводчиков и того, в какой стране они находятся.
Какие выгоды Smartcat даёт переводчику?
Для самозанятных с помощью Smartcat станет очень просто отчитываться о налогах.
Нужно будет просто включить нужную настройку — мы расскажем, какую, как только закон вступит в силу, — и получать оплату от клиентов через Smartcat. Smartcat будет автоматически регистрировать ваши доходы, и от вас не потребуется никаких дополнительных действий.
Будет ли государство теперь отслеживать платежи на карты?
Когда-нибудь, наверняка, будет. Но, насколько мы знаем, сейчас этого не происходит, не начнёт происходить с выходом закона, и вообще с законом никак не связано. Скорее всего, это является параллельным процессом, который будет развиваться независимо.
Цель Smartcat — автоматизировать не только управление переводом, но и все связанные процессы, так чтобы работа всех участников отрасли была максимально эффективной и приятной. Выплаты, документооборот, налоговая отчётность — все эти вопросы могут доставлять много головной боли. Наша цель — избавить вас от неё. Мы следим за всеми изменениями в законодательстве и реагируем на них, чтобы вам не нужно было этого делать.
Если у вас остались вопросы — пишите нам, мы всегда на связи и готовы помочь.
переводчик. Для работы переводчиком в Москве требуются переводчики с и на английский и немецкий языки, тесты для переводчиков
Для работы в Москве требуются переводчики, желательно — зарегистрированные как индивидуальные предприниматели (ИП), с/на английский и немецкий язык, а также другие европейские и азиатские языки.
Приглашаем к сотрудничеству опытных фрилансеров. Пожалуйста, ознакомьтесь со спецификой и принципами работы нашей переводческой компании. В случае одобрения просим выслать ваше резюме в текстовом формате (.doc или .rtf) или в формате .pdf на электронный почтовый адрес norma-job@mail.
ru и приложите перевод одного или нескольких тестов по вашему выбору. Резюме, отправленные на другие электронные почтовые адреса, рассматриваться не будут. Просьба указывать в теме сообщения только свою фамилию и иностранный язык (языки).
Внимание! Перед началом работы необходимо ознакомиться и принять к сведению наши требования к переводчикам.
Наш подход к тестированию
Прежде чем выполнять тестовые задания, пожалуйста, ознакомьтесь со следующей информацией.
Каждый переводчик при выполнении пробных переводов придерживается, пусть даже неосознанно, какого-то одного из двух альтернативных принципов тестирования: “минимального” или “максимального”.
“Минимальный” подход подразумевает выполнение теста как бы в условиях реальной жизни, за небольшое время (как при обычном срочном заказе) и без многократной перепроверки терминологии. Переводчик преднамеренно не показывает себя на все 100%, чтобы после не разочаровать.
Не секрет, что зачастую соискатель делает пробный перевод очень неплохо, а когда начинает получать реальные срочные заказы, качество его работы сразу падает. “Минимальный” подход тестирования исключает подобную ситуацию. Таким образом, эту стратегию можно кратко охарактеризовать словами: “Хуже не будет”.
В противоположность этому, “максимальный” подход заключается в крайне тщательном “вылизывании” пробного перевода. Отрывок размером полстраницы может переводиться целый день: переводчик советуется с коллегами, ищет тексты по данной тематике в Интернете и т.д. Коротко данная стратегия называется: “Пробный перевод – это лицо переводчика”.
Наше агентство всегда придерживается “максимального” принципа. И мы ждем от переводчиков именно такого подхода. Пожалуйста, не жалейте времени на тесты! Мы мысленно делаем поправку на разницу между тестами и реальными заказами. Поэтому даже небольшая ошибка в тесте, вполне извинительная в реальном переводе (например, неправильно поставленная запятая или неуклюже сформулированное предложение), может привести к тому, что Ваш тест будет отвергнут.
PS. Просим иметь в виду, что в случае отрицательного результата тестирования мы не гарантируем, что ответим соискателю. И тем более мы никогда не производим разбор ошибок в пробных переводах (по вполне понятным причинам).
Желаем успеха и надеемся на сотрудничество!
Тесты для переводчиков
Английский язык
С английского на русский
С русского на английский
Технический тест (автоспецтехника)
Фармакопея, валидация процесса, регистрация лекарственных средств
Немецкий язык
Испанский язык
Ниже собраны наши текущие вакансии, а также непроверенные вакансии разных других компаний. За последние наше бюро переводов ответственности не несет:
Вакансии штатных переводчиков и разовые заказы для переводчиков-фрилансеров с сайта «Город Переводчиков» (trworkshop.net)
Перед тем, как откликнуться на вакансию незнакомого работодателя, необходимо навести справки о нем в различных Черных списках.
Вакансии для переводчиков с портала SuperJob.Ru:
Переводчик индивидуальный предприниматель. Кому это выгодно
В России постепенно утверждается категория переводчиков «переводчик со статусом индивидуального предпринимателя». Лет десять назад все кинулись во фрилансеры, а теперь все дружно спешат зарегистрировать ИП. Мода такая. Не очень люблю я модные веяния, но полностью их игнорировать тоже нельзя.
Статус переводчика индивидуального предпринимателя имеет свои плюсы и минусы. Не все так однозначно, как может показаться на первый взгляд.
Начнем с вопроса, кому в первую очередь нужен этот пресловутый ИП?
На поверку оказывается, что наличие у переводчика статуса ИП выгодно прежде всего крупным постоянным заказчикам: тем самым они экономят не только на налогах и отчислениях в разные фонды, но и на бухгалтерских расходах.
Разница в размере гонораров, которые готов заплатить Заказчик, по-прежнему больше зависит от переговорного мастерства переводчика, чем от его налогового статуса.
Среди заказчиков переводов есть такие, кто предпочитают иметь дело в основном с ИП. И их становится все больше. Но встречаются и такие заказчики, которых это наоборот не устраивает. И есть такие, кто относится к этому нейтрально: то есть, им все равно.
Кстати, некоторые крупные немецкие заказчики в русле борьбы с коррупцией имеют негласное указание заключать соглашения исключительно с юрлицами. В результате даже переводчикам, имеющим статус ИП, порой приходится оформлять оплату через переводческие агентства.
В целом же регистрацию ИП или приобретение патента на переводческую деятельность можно рекомендовать в первую очередь:
— переводчикам, активно работающим на рынке и ежегодно выполняющим большой объем переводов, которые они могут провести через ИП,
— переводчикам, имеющим достаточное количество таких постоянных заказчиков, которых устраивает работа с переводчиками-ИП, включая оформление необходимых договоров и актов приемки
— переводчикам со стажем работы 5-10 лет, которые еще находятся на самом взлете своей карьеры.
Вы спросите: «А в чем же минусы статуса ИП или переводческого патента?» К минусам можно отнести:
— начальные финансовые издержки на регистрацию ИП
— лишние телодвижения (открытие и оплата банковского счета, налоговые декларации, общение с налоговой инспекцией, мелкая бумажная волокита по оформлению договоров и актов приемки с заказчиками)
— возможные финансовые траты на ведение бухгалтерской отчетности, если Вы не особенно в этом разбираетесь и не хотите вникать и заморачиваться
— никогда нельзя знать заранее, сколько у Вас будет в этом году переводов (если переводов, оформленных через ИП, окажется немного, то в финансовом отношении Вы особо не выиграете, только потратите время и нервы)
— приходится следить за возможными изменениями законодательства в отношении ИП и периодически отбиваться от налоговых, статистических и прочих органов, которые так и норовят потребовать от тебя какую-то дополнительную бумажонку или доплату
— через 2-3 года условия налогообложения ИП могут быть изменены, и тогда придется приспосабливаться к новым правилам игры.
Но в конечном счете все зависит от Вашей активности, гибкости и умения перестраиваться. А в России любой вид предпринимательской деятельности или бизнеса уже по определению экстрим!
Юрий Новиков,
дипломированный переводчик-референт
немецкого и английского языков,
член Правления Союза переводчиков России
8 ноября 2011
Переводчик ИП отзывы, Москва, ул. Новогиреевская, 34
—
—
—
Переводчик ИП на Новогиреевской
| Адрес | Москва, ул. Новогиреевская, 34 |
| Метро | Перово 0.72км |
| Телефон | +7 (916) 260-15-50 |
| Часы работы | |
| Сайт | italiano-perevod. ru |
| Рубрики | Переводчик |
| Оценка |
3 7 отзывов |
|
Похожие компании в категории
|
Переводчик ИП на Новогиреевской отзывы
7
Александр
03 февраля 2019 в 15:15
Работали на монтаже в Барилла. Хороший переводчик.
Наталья
29 января 2019 в 18:25
Переводил на мероприятии с участием итальянцев. Опытный переводчик, будем обращаться еще.
p m
28 декабря 2018 в 10:16
Хорошо переводит, даже сложные технические термины
Светлана
22 декабря 2018 в 16:38
Итальянский переводчик с большим опытом.
Переводит без запинок даже сложные термины, технические, экономические и юридические.
Роман
21 ноября 2018 в 4:48
Хороший переводчик с итальянского. Также у него есть грамотный коллега с английским языком.
Электрик
16 августа 2018 в 1:35
Переводчик итальянского и английского языка. Хорошо владеет технической тематикой, в частности в области электрики и электроники.
Giulia
10 мая 2018 в 10:46
Хороший итальянский переводчик. Очень помог. Недорого.
Добавить отзыв
Вправе ли физическое лицо оказывать иностранным организациям услуги переводчика, редактора, корректора текстов при получении заказов посредством специализированного сайта сети Интернет без регистрации в качестве индивидуального предпринимателя? | Вправе ли физическое лицо оказывать иностранным организациям услуги переводчика, редактора, корректора текстов при получении заказов посредством специализированного сайта сети Интернет без регистрации в качестве индивидуального предпринимателя?
Вправе ли физическое лицо оказывать иностранным организациям услуги
переводчика, редактора, корректора текстов при получении заказов посредством
специализированного сайта сети Интернет без регистрации в качестве
индивидуального предпринимателя?
19.
07.2019
В соответствии
с частью второй пункта 1 статьи 1 Гражданского кодекса Республики Беларусь
(далее – ГК) предпринимательская деятельность – это самостоятельная
деятельность юридических и физических лиц, осуществляемая ими в гражданском
обороте от своего имени, на свой риск и под свою имущественную ответственность
и направленная на систематическое получение прибыли от пользования имуществом,
продажи вещей, произведенных, переработанных или приобретенных указанными
лицами для продажи, а также от выполнения работ или оказания услуг, если эти
работы или услуги предназначаются для реализации другим лицам и не используются
для собственного потребления.
Частью
четвертой пункта 1 статьи 1 ГК установлено, что к предпринимательской
деятельности не относятся осуществляемая физическим лицом самостоятельно без
привлечения иных физических лиц по трудовым и (или) гражданско-правовым
договорам деятельность по копированию, подготовке документов и прочая
специализированная офисная деятельность, а также деятельность по письменному и
устному переводу.
Действующим
законодательством не ограничены способы осуществления указанных видов
деятельности, а также лица, в интересах которых осуществляются такие виды
деятельности.
В соответствии
с Общегосударственным классификатором Республики Беларусь ОКРБ 005-2011 «Виды
экономической деятельности», утвержденным постановлением Государственного
комитета по стандартизации Республики Беларусь от 05.12.2011 № 85,
редактирование и проверка документов (чтение корректур), классифицируется в
подклассе 82190 «Деятельность по копированию, подготовке документов и прочая
специализированная офисная деятельность».
Таким образом,
физическое лицо, не осуществляющее предпринимательскую деятельность, вправе
оказывать иностранным организациям услуги, поименованные в запросе, при
получении заказов посредством специализированного сайта сети Интернет без
государственной регистрации в качестве индивидуального предпринимателя.
Приложение 5 Переводчик как субъект права
Письменный
перевод – Рекомендации переводчику,
заказчику и редактору, 3-я редакция
ПРИЛОЖЕНИЕ 5
ПЕРЕВОДЧИК КАК СУБЪЕКТ
ПРАВА
Материал
подготовлен
А.
А. Лукьяновой,
секретарем
правления СПР по правовым вопросам
Основным источником права
в России в области регулирования
интеллектуальной собственности (помимо
международных конвенций, в которых
участвует РФ1,
и ст. 44 Конституции РФ2)
является Часть IV
Гражданского кодекса
РФ «Права на результаты интеллектуальной
деятельности и средства индивидуализации»
(применительно к переводу это – главы
69-70 ГК РФ)3.
После вступления в силу
Части IV
ГК РФ ( 01.01.2008 г.) утратили
силу десятки законов, указов и иных
нормативных актов. Вплоть до последнего
времени в новую часть ГК не раз вносились
существенные поправки (следить за
которыми можно, в частности, в рубрике
«Переводчик и право» журнала СПР «Мир
перевода»). Переводчикам необходимо
внимательно относиться к тем поправкам,
которые непосредственно касаются их
деятельности4.
Как и ранее, по действующему
законодательству создателю произведения
(по закону перевод есть производное
произведение
и как таковое охраняется
законом) принадлежат интеллектуальные
права, которые включают исключительное
право, являющееся имущественным правом,
и личные неимущественные и иные права
(право следования, право доступа и др.),
Примерный перечень имущественных
правомочий владельца исключительного
права на свое произведение приведен в
ст. 1270 ГК РФ.
Любой перевод (кроме
подстрочного и машинного/автоматического)
является объектом авторского права,
независимо от его жанра, достоинств и
назначения, а также от способа его
выражения, и может использоваться только
с согласия переводчика как владельца
исключительного права на созданный им
перевод (т.
е., правообладателя) (см. ст.
ст. 1228, 1229, 1259 и 1260 ГК РФ).
Авторское право
распространяется и на устный перевод.
Закон гласит: «Авторские права
распространяются как на обнародованные,
так и на необнародованные произведения,
выраженные в какой-либо объективной
форме, в том числе в … устной форме (в
виде публичного произнесения и иной
подобной форме), … в форме звуко- или
видеозаписи…» (ст. 1259 ГК РФ).
Обратим внимание на
то, что запись синхронного перевода
заказчиком возможна только с разрешения
синхронных переводчиков и должна особо
оговариваться в договоре заказчика с
ними.5
Возникновение авторского
права у переводчика.
Все интеллектуальные
права переводчика, включая его личные
неимущественные права, исключительное
имущественное право и иные права,
рождаются автоматически
с момента создания
перевода, а вот процесс конкретного
правового регулирования начинается
лишь с момента использования
перевода самим
переводчиком или любыми третьими лицами.
Понимание этого положения
чрезвычайно важно для установления и
поддержания корректных, соответствующих
закону отношений между всеми участниками
рынка переводческих услуг в РФ.
Почти все виды переводов
как результаты интеллектуальной
деятельности относятся к объектам
гражданских прав и, в частности, авторских
прав, поскольку авторские права включены
в специальный раздел Части
IV
ГК РФ. Переводчики
являются не только субъектами гражданских
прав, но и владельцами исключительного
имущественного права на выполненные
ими переводы. С момента создания перевода
его автор приобретает исключительное
(имущественное) право на использование
своего перевода (с некоторыми особенностями
в случае служебного перевода).
В РФ автор (применительно
к данной ситуации – переводчик) не
обязан проходить процедуру регистрации
своих авторских прав, они появляются у
него автоматически, как сказано выше.
Для подтверждения своего авторства
переводчику достаточно предъявить
(суду, например) либо оригинал перевода
(его уникальный экземпляр в виде рукописи6
или в какой-либо иной
объективной форме – см.
ст. 1259 ГК РФ),
либо любой опубликованный экземпляр с
указанием своего имени как переводчика
(см. ст. 1257 ГК РФ).
Закон определяет правомочия
переводчика в ст. 1270 ГК РФ не полностью,
поэтому приведенный в ней перечень не
является исчерпывающим. Но именно
правомочия по использованию перевода
(право на воспроизведение, на
распространение, на переработку перевода,
на промежуточный перевод и пр.) должны
быть прямо указаны в конкретном договоре,
т.е. ясно и недвусмысленно в нем названы.
Правомочия (способы использования),
которые прямо не названы, считаются не
переданными по договору. Однако личные
(неимущественные) права переводчика,
такие как право авторства и право на
имя, не могут быть никому переданы ни
самим переводчиком, ни его наследниками,
поскольку по закону все указанные личные
права являются неотчуждаемыми и
непередаваемыми, за исключением случаев,
прямо указанных в законе (см. ст. ст.
1266, 1268, 1295 ГК РФ).
Виды договоров с переводчиком.
Многообразие форм и видов работы
переводчиков объективно требует разного
правового регулирования правоотношений,
возникающих между ними и различными
пользователями их переводов.
7
В РФ отношения между
переводчиком и заказчиками оформляются
в виде трудовых или гражданско-правовых
договоров.
Трудовые договоры заключаются
со всеми штатными переводчиками или
совместителями, выполняющими переводы
в соответствии с должностными
обязанностями. Существенные условия
таких договоров определены ТК РФ и ст.
1295 ГК РФ.
Кроме того, работодатели/заказчики
могут подписывать с переводчиками и
другие виды договоров, по которым
авторские права переводчиков переходят
к ним.
Авторский договор –
собирательное понятие, существуют
разные его виды, в которых отражается
характер произведения и специфика его
использования. Авторский договор – это
гражданско-правовой договор,
в котором, наряду с
другими, характерными
для него существенными условиями,
есть условия о передаче
права на использование произведения.
Законом предусмотрены
следующие виды авторских договоров о
передаче прав на использование
произведения, в том числе в переводе:
договор отчуждения,
лицензионные договоры
(о передаче прав на
исключительной или неисключительной
основе, то есть, на основании исключительной
или простой лицензии),
сублицензионные
договоры, договоры авторского заказа
и издательские договоры
(последние могут быть
в виде как договоров отчуждения, так и
лицензионных договоров).
Договоры отчуждения, которые
существенным образом отличаются от
других видов авторских договоров,
введены в обращение с 01.01.2008 года и
дополняют лицензионные (по которым
передаются определенные права на
исключительной или неисключительной
основе). По договору отчуждения у
переводчика (также как и у любого другого
субъекта авторского права, владеющего
исключительным правом с момента создания
своего произведения) отчуждается его
исключительное право в полном объеме
и фактически навсегда8,
при этом виды и сроки использования в
таком договоре вообще не конкретизируются,
в отличие от лицензионного договора.
Особняком стоят авторские
(издательские договоры), определяющие
отношения в цепочке «автор оригинального
текста – переводчик – издатель». Как
правило, инициатива в получении от
автора оригинала права на использование
(издание) его произведения в переводе
принадлежит издателю и оформляется
издательским лицензионным договором
с автором. Однако бывают случаи, когда
автор лично доверяет конкретному
переводчику право на перевод его
произведения, что подтверждается им
письменно.
Этот факт учитывается при
оформлении правоотношений между автором
оригинала и издателем, переводчиком и
издателем.
Переводчик может распорядиться
своим исключительным правом в рамках
лицензионных договоров, в том числе
договора авторского заказа (ст. ст. 1235,
1238, 1286, 1288 ГК РФ). Сторонами лицензионных
договоров являются, в нашем случае,
переводчик – лицензиар
(обладатель исключительного
права) и лицензиат
– сторона, получающая
право на использование конкретных
правомочий, принадлежащих автору/переводчику
(см. ст. 1270 ГК РФ). Конечно, переводчик
может заключить и договор отчуждения
(см. ст. ст. 1234 и 1285 ГК РФ), однако, с учетом
правовых последствий такого договора
– фактической утраты в полном объеме
исключительного права при передаче его
приобретателю – не рекомендуется широко
применять такой договор.
Разрешение от автора
оригинального текста.
Иногда путают возможность
создания перевода любого произведения
как творческого процесса (права на
творчество) с получением разрешения на
перевод от автора (правообладателя)
оригинала.
В п. 3 ст. 1260 ГК РФ указано:
«Переводчик … осуществляет9
свои авторские права
при условии соблюдения прав авторов
произведений, использованных для
создания производного произведения».
При этом права переводчика охраняются
как права на самостоятельные объекты
авторских прав, независимо от охраны
прав автора произведения, подвергшегося
переводу. Очевидно, что автор оригинала
и переводчик не являются соавторами
переведенного произведения, даже в
случае авторизованного перевода: их
права не едины, хотя и тесно связаны.
Встречаются случаи, когда автор оригинала
не пользуется правовой охраной в нашей
стране, однако с переводчиком при этом
всегда должен заключаться авторский
договор об использовании его перевода,
например, если переводится не охраняемое
в России (доконвенционное) зарубежное
произведение. Наконец, прекращение
авторского права на оригинальное
произведение или переход его к другому
лицу не затрагивают авторских прав
переводчика, и наоборот. Кроме того,
наличие авторского права на конкретный
перевод не препятствует тому, чтобы
другие лица переводили то же оригинальное
произведение.
Однако использование
таких новых переводов будет также
сопряжено с обязанностью оформления
необходимых правоотношений с автором
оригинала (если произведение охраняется)
и, безусловно, с переводчиком. Частным
случаем подобных правоотношений является
получение права на использование
перевода создателями промежуточных
переводов (переводы на русский язык с
национальных языков, например).
Что касается
возмездности
(безвозмездности)
передачи прав, то этот
вопрос, независимо от формы договора,
решает сам автор.
При возмездной
передаче конкретных
правомочий необходимо указать в договоре
размер вознаграждения за их использование
или порядок его определения. В противном
случае лицензионный договор считается
вообще незаключенным (ничтожным), а
договор отчуждения в случае существенного
нарушения обязанности выплатить в срок
вознаграждение за приобретение
исключительного права в полном объеме
позволяет переводчику требовать в
судебном порядке возврата данного права
и возмещения убытков10.
В случае
безвозмездной
передачи прав согласие
переводчика на это условие должно быть
прямо указано в договоре, независимо
от формы договора.
Правоотношения между
пользователями и переводчиками
оформляются письменными
договорами, кроме
случаев, прямо указанных в законе (п. 2
ст. 1286 ГК РФ). ГК РФ не предусматривает
типовых форм договоров11.
Договоры, будучи результатом предварительных
переговоров сторон, должны основываться
на принципе свободы договора (см. ст.
421 ГК РФ). Это означает равноправие
договаривающихся сторон при согласовании
существенных условий договора: прав и
обязанностей сторон, ответственности
за нарушение обязательств, размера
вознаграждения или порядка его
определения.
Закон допускает возможность
заключения так называемых
смешанных договоров
(когда конкретный договор
содержит элементы договоров разных
видов). В этом случае к отношениям сторон
по смешанному договору применяются в
соответствующих частях правила о
договорах, элементы которых содержатся
в смешанном договоре, если иное не
вытекает из соглашения сторон.
Следует понимать, что по
договорам возмездного оказания услуг
и по договорам подряда в их «чистом»
виде (т.е. без указания
условий о передаче авторских прав)
эти права к заказчику
не переходят, т.е.
остаются у переводчика, который вправе
распорядиться ими по своему усмотрению.
Использование имущественных
авторских прав без соответствующего
договора представляет собой нарушение
закона. Если
в договоре с переводчиком указано лишь,
что «заказчику передается перевод…»,
т.е. перевод передается
как вещь
(как рукопись, бумажный
или электронный носитель), и при этом
ничего не сказано о
переходе прав к
пользователю, то исключительное право
автоматически остается у переводчика
(ст.1227 ГК РФ). В этом случае, с точки зрения
закона, заказчики не вправе использовать
перевод, согласно ст. ст. 1233, 1235 и 1270 ГК
РФ, со всеми вытекающими отсюда
последствиями12.
Возникает гражданско-правовая
ответственность при неправомерном
использовании перевода, т.
е. в случае,
когда авторского договора нет, а он
должен быть (ст. ст. 1301 и 1302 ГК РФ). Пример:
бюро перевода оформляет с переводчиком
обычный гражданско-правовой договор
(услуг или подряда) без
передачи авторских прав,
а по истечении какого-то времени перевод
публикуется в печатном виде либо в
электронной форме, в том числе в Сети.
Правовое положение
переводчика. При
заключении договора и в зависимости от
его вида правовое положение переводчика
может быть следующим: в авторском
лицензионном договоре он как субъект
авторского права является автором
перевода, его правообладателем,
лицензиаром (владельцем исключительного
авторского права на перевод), в договоре
отчуждения – правообладателем, в
трудовом договоре – штатным работником
или совместителем, в гражданско-правовом
договоре возмездного оказания услуг –
исполнителем, в гражданско-правовом
договоре подряда – подрядчиком.
Во избежание последующего
контрафактного использования перевода
третьими лицами, в лицензионном договоре
должно быть зафиксировано разрешение
переводчика на заключение заказчиком
сублицензионных договоров о передаче
третьим лицам, полностью или частично,
полученных заказчиком (лицензиатом) по
договору правомочий (ст.
1238 ГК РФ).
В цепочке «переводчик
– бюро переводов – конечный заказчик»
такие ситуации типичны, поэтому на этот
момент следует обратить особое внимание.
Служебные произведения.
Штатным переводчикам
важно знать и уметь применять в своих
интересах ст. 1295 ГК РФ о служебных
произведениях.
С переводчиками, являющимися
работниками издательств, редакций СМИ
или других организаций, использующих
переводные произведения, должны
заключаться письменные трудовые
договоры. При этом не следует забывать,
что согласно букве закона (п. 1 ст. 1295 ГК
РФ), авторские права на произведение
науки, литературы или искусства, созданное
в пределах установленных для работника
(автора) трудовых обязанностей (служебное
произведение),
принадлежат автору. Однако
исключительное право
(за некоторыми изъятиями)
всегда принадлежит
работодателю, если
трудовым или гражданско-правовым
договором между работником и работодателем
не предусмотрено иное (последнее
положение действует в данной редакции
с 01.
10.2014 г.).
В этом случае речь идет о
переводчиках, которые являются
штатными работниками
(т.е. их трудовая книжка
находится у работодателя) или совместителями
(такой переводчик работает по должности,
указанной в штатном расписании
организации, но его трудовая книжка
находится у какого-то другого работодателя).
Как сказано выше, исключительное
право на служебное произведение
принадлежит работодателю, если трудовым
или (с 01.10.2014 г.) гражданско-правовым
договором между работодателем и автором
не предусмотрено иное. Закон устанавливает
обязанность выплаты штатному переводчику
(или переводчику, работающему по
совместительству) соответствующего
вознаграждения за служебные переводы
(см. абз. 3, п. 2 ст. 1295 ГК РФ. Более того,
законодатель уточняет, что работодатель
обязан указать в трудовом договоре
размер такого вознаграждения, условия
и порядок его выплаты. Если речь идет о
переводчиках — фрилансерах, то с ними
может быть оформлен соответствующий
гражданско-правовой договор, в котором
условия о вознаграждении также являются
существенными.
Отсюда вывод для
переводчиков и их работодателей: если
условие о выплате вознаграждения за
служебные произведений в трудовом (или
гражданско-правовом договоре) не будет
указано, то переводчик вправе решить
этот вопрос в судебном порядке. На
практике, текстуально данное условие
может выглядеть (например, как в самом
трудовом договоре, так и в дополнительном
соглашении к нему) следующими образом:
«Заработная плата работника (переводчика
Иванова Ивана Ивановича),
предусмотренная настоящим договором,
включает и вознаграждение за служебные
произведения, создаваемые работником
в рамках его трудовой функции». Об иных
примерных формулировках данного условия
договора см. ниже по тексту настоящего
Приложения.
В некоторых случаях закон
предусматривает также возврат
исключительного права работнику. Так,
если работодатель в течение трех лет
со дня предоставления ему служебного
произведения не начнет его использование,
не передаст исключительное право на
него другому лицу, или не сообщит
переводчику о сохранении произведения
в тайне, то исключительное право
автоматически возвращается к автору
служебного перевода.
Если работодатель в течение
трех лет со дня, когда служебный перевод
был предоставлен в его распоряжение,
начнет его использование или передаст
исключительное право на его использование
другому лицу, переводчик имеет право
на вознаграждение. Он приобретает
указанное право на вознаграждение и в
случае, когда работодатель принял
решение о сохранении служебного
произведения в тайне и по этой причине
не начал использование этого перевода
в указанный срок. Еще раз напоминаем,
что размер вознаграждения, условия и
порядок его выплаты работодателем
определяются договором между ним и
работником, а в случае спора – судом.13
При любой уступке (передаче)
имущественных прав на использование
произведения автора (переводчика) (т.е.
правомочий, установленных статьей 1270
ГК РФ), личные (неимущественные права)
всегда остаются у него, поскольку они
неотчуждаемы и непередаваемы ни при
жизни, ни после смерти автора в силу
закона. Это – право авторства, право на
имя, право на неприкосновенность
произведения, право на его обнародование
и, наконец, право на отзыв, которое
выделено законодателем в специальную
статью 1269 ГК РФ.
Своим правом на отзыв
автор (переводчик) фактически реализует
принадлежащее ему право на обнародование,
и может воспользоваться этим дополнительным
правомочием в любом случае, т.е. как при
передаче права использования произведения
определенным способом и определенной
форме (по лицензионному договору), так
и при отчуждении исключительного права
в полном объеме (по договору отчуждения).
С 1 октября 2014 г. автор (переводчик) вправе
реализовать свое право на отзыв лишь
до фактического обнародования перевода
и при условии возмещения причиненного
таким отзывом убытков. Однако, как
показывает практика, случаи отзыва
произведения (перевода) чрезвычайно
редки.
Актуальной для переводчиков
является введенная с 1 октября 2014 г.
новая редакция ст. 1296 ГК
РФ «Произведения, созданные по заказу».
Теперь в этой статье речь идет об
обеспечении интересов переводчика при
переходе к заказчику исключительного
права на перевод при выполнении
исполнителем (переводчиком) условий
договора заказа на
перевод.
Необходимость
упоминания здесь этой статьи вызывается
тем, что сейчас она применяется ко всем
произведениям, а не только к программам
для ЭВМ, как было ранее, а права и
обязанности по такому договору имеют
свои особенности, отличающие его от
обычного договора подряда14.
Следует выделить следующие
моменты.
Во-первых, создание перевода
к определенному сроку (по заказу) должно
быть предметом договора без каких-либо
оговорок между сторонами. Если стороны
договорились об иных условиях, то
исключительное право остается у
подрядчика и при этом заказчик вправе
использовать такой перевод в целях, для
достижения которых был заключен
соответствующий договор на условиях
безвозмездной простой (неисключительной)
лицензии в течение всего срока действия
исключительного права, если договором
не предусмотрено иное.
Во-вторых, переводчик как
автор служебного перевода, которому не
принадлежит исключительное право на
свой перевод, в любом случае имеет право
на вознаграждение в соответствии с
правилами об использовании служебных
произведений (абз. 3 пункта 2 статьи 1295
ГК РФ).
В-третьих, закон особо
оговаривает случаи, когда подрядчиком
(исполнителем) по договору заказа (см.
ст. 1296 ГК РФ) является сам переводчик
(как автор перевода). В этих случаях
вышеуказанные правила не применяются
вообще, а действуют условия ст. 1288 ГК РФ
в полном объеме.
При этом переводчик как
участник такого правоотношения вправе
получить вознаграждение, размер, условия
и порядок выплаты которого должны
определяться договором между ним и
работодателем, а в случае спора – судом.
Открытая лицензия.
Новая статья 1286 ГК
РФ «Открытая
лицензия на использование произведения
науки, литературы или искусства»
расширяет возможности правообладателя
(переводчика) распоряжаться своим
исключительным правом (см. ст. 1233
ГК РФ «Распоряжение
исключительным правом»). Являясь
договором присоединения (см. ст. 438 ГК
РФ), открытая лицензия позволяет
переводчику в упрощенном порядке
публично предоставить пользователю
простую (неисключительную) лицензию на
использование перевода (например, путем
публикации соответствующей оговорки
на сайте вместе с самим произведением).
Такой договор является договором
присоединения, а значит, в силу п. 1 ст.
428 ГК РФ его условия определяются лишь
одной стороной и могут быть приняты
другой стороной не иначе как путём
присоединения к предложенному договору
в целом.
Индивидуальный предприниматель
и авторское право. По
вопросу о том, может ли индивидуальный
предприниматель являться создателем
произведения и быть обладателем
исключительного права на созданное им
производное произведение (перевод) или
оригинальное произведение, ответ
однозначен: да, может. Однако здесь есть
определённые тонкости, вызванные
наличием в действующем российском
законодательстве такого понятия как
«индивидуальный предприниматель» и
возникшим в этой связи правовым дуализмом
статуса переводчика-ИП как физического
лица и автора, с одной стороны, а с другой
стороны – как субъекта предпринимательской
деятельности и налогообложения. До
изменения законов в этой части переводчикам
придется принимать к сведению те
соображения и рекомендации, которые
изложены ниже.
В новом авторском
законодательстве возникает определенная
путаница в связи с тем, что в ст. 1257 ГК
РФ «автором произведения… признается
гражданин,
творческим трудом которого оно создано».
На самом деле, понятие
«гражданин» относится
к другим правоотношениям (граждане
государства и их права). По отношению к
авторам должно бы использоваться понятие
«физическое лицо»
(как это было в предыдущем
законодательстве и практикуется в
международном авторском праве).
Поскольку ИП – это налоговый
статус, и индивидуальный предприниматель
не является гражданином
в смысле
упомянутой статьи,
то, как представляется, ИП как участник
предпринимательской деятельности
формально
не может рассматриваться
в качестве автора, хотя
на деле
им и является.
Дело в том, что создатель
перевода и он же индивидуальный
предприниматель вступает в договорные
отношения с юридическим лицом (БП, прямым
заказчиком), и, с
точки зрения гражданского законодательства,
обе стороны правоотношения являются
участниками предпринимательской
деятельности.
Это означает, что
использовать
любым способом и в любой
форме данный перевод
возможно
лишь при наличии
договора между
ними.
Такой договор может быть
исключительно авторским,
поскольку только предметом авторского
договора является передача права на
использование перевода на исключительной
или неисключительной основе.
Другие виды
гражданско-правовых договоров вообще
не предусматривают передачу авторских
прав, а потому в
случае оформления с переводчиком-ИП
договора подряда
или
договора оказания
услуг в
целях использования его перевода
исключительное авторское право всегда
остается у переводчика (ведь автором
произведения по закону может быть только
физическое лицо («гражданин»), а
пользователь при этом рискует оказаться
«пиратом».
Вопрос этот обсуждается в
правовом сообществе, и по нему принимаются
практические решения арбитражными
судами в том смысле, что последние
отказываются принимать к рассмотрению
иски о защите авторских прав, поданные
авторами / переводчиками-ИП, и отправляют
их в суды общей юрисдикции, предлагая
искать правовую защиту там в статусе
физических лиц.
В настоящий момент для
выхода из этого затруднения можно
рекомендовать идти по следующему пути.
Правообладателем является
только владелец исключительного
авторского права.Следовательно, и индивидуальный
предприниматель, и организация
(переводческая фирма), независимо от
ее организационно-правовой формы, могут
стать обладателями этого права на
использование перевода, лишь получив
по авторскому договору (с исключительной
или неисключительной лицензией) данное
право у его владельца (правообладателя).Это означает, что для
использования перевода, полученного
от переводчика,
являющегося
индивидуальным предпринимателем,
необходимо проверить наличие у него
исключительных прав, которые он мог бы
передать переводческой компании.
Возражения по поводу того,
что данный перевод выполнен лично самим
предпринимателем, с
точки зрения законодательства,
не имеет юридических оснований, т.к. все
правомочия по использованию произведения,
созданного гражданином,
не могут принадлежать индивидуальному
предпринимателю
без соответствующего
договора о передаче ему данных правомочий
полностью или частично от себя (как
гражданина) к себе (как индивидуальному
предпринимателю).
Таким образом,
если у индивидуального
предпринимателя отсутствует такой
договор (отчуждения
исключительного права в полном объеме),
фактически заключенный
с самим собой, но юридически оформляющий
переход от одного юридического статуса
к другому (от
гражданина к предпринимателю),
то такой индивидуальный
предприниматель ничего передать компании
не может, поскольку таких правомочий у
него нет, а если
передаст, то переводческая компания не
вправе воспользоваться данным переводом,
поскольку правомочия по его использованию
все еще будут оставаться у
гражданина,
личным трудом которого создан перевод.
В выявлении наличия такого
договора и будет заключаться, с позиции
переводческой компании, проверка
авторско-правовой чистоты, касающейся
передачи прав, суть которой состоит в
принадлежности исключительного права.
Переводчик IP TRANSLATOR | Полевой рыболов
Перевод IP TRANSLATOR
Эта статья впервые появилась в журнале «Интеллектуальная собственность» 1 июля 2012 г.
Кейс C-307/10
Сертифицированный институт патентных поверенных против Регистратора товарных знаков
Долгожданное решение Суда по IP TRANSLATOR направлено на внесение ясности в отношении спецификации товаров и услуг в заявке на товарный знак. Решение также направлено на разрешение конфликта между различными подходами к использованию заголовков классов.
Ниццкая классификация состоит из четырех элементов: объяснение принципов классификации товаров и услуг; алфавитный список товаров внутри каждого класса; заголовок класса для каждого класса, который содержит репрезентативный набор товаров или услуг, выраженный в общих чертах; и пояснительную записку для каждого класса.
Корни этого решения лежат в заявке Чартерного института патентных поверенных («CIPA») на регистрацию торговой марки IP TRANSLATOR на UK-IPO.Заявка подана в 41 класс по «Образование; обучение; развлечение; спортивные и культурные мероприятия» . Эта спецификация составляет заголовок класса 41 Ниццкой классификации.
Эксперт UK-IPO отклонил заявку на том основании, что знак IP TRANSLATOR описывает услуги перевода, относящиеся к интеллектуальной собственности. Услуги по переводу подпадают под класс 41 и включены в алфавитный список этого класса; однако при буквальном толковании формулировки такие услуги не подпадают ни под один из общих терминов, изложенных в заголовке класса.
Выдвигая возражение, UK-IPO применило подход, изложенный в Сообщении № 4/03 президента OHIM. Это сообщение, за которым следит OHIM с 2003 года, предусматривает, что заявление о спецификации, которое охватывает точную и полную формулировку заголовка класса, считается охватывающим все товары или услуги в этом классе. Другими словами, предполагалось, что приложение IP TRANSLATOR покрывает все услуги класса 41, включая услуги перевода.
Подход «заголовок класса охватывает все» применяется как OHIM, так и рядом национальных реестров ЕС, в то время как буквальный подход «заголовок класса означает то, что он говорит». применяется рядом других национальных реестров, включая, исторически, UK-IPO.
CIPA обратилась к Уполномоченному в Великобритании, который направил в Суд три вопроса:
- Необходимо ли, чтобы различные товары или услуги, на которые распространяется заявка на товарный знак, были идентифицированы с какой-либо, и если да, то с какой конкретной степенью ясности и точности?
- Допустимо ли использовать общие слова заголовков классов… с целью идентификации различных товаров или услуг, на которые распространяется заявка на товарный знак?
- Разрешено ли такое использование общих слов заголовков классов… интерпретировать в соответствии с [подходом «заголовок-класс-охватывает все»]?
Рассмотрев предысторию, Суд сначала рассмотрел требование ясности и точности в спецификациях.Рассматривая различные тесты, изложенные в Директиве о гармонизации, такие как тесты на возможность регистрации или вероятность путаницы, Суд пришел к выводу, что все эти тесты требуют оценки охватываемых товаров и услуг. Таким образом, это существенно влияет на применение этих тестов и на способность публичных реестров сообщать третьим сторонам объем прав владельца, независимо от того, является ли спецификация достаточно ясной и точной.
На этом фоне Суд подтвердил, что Директива действительно требует, чтобы товары и услуги, указанные в заявке на регистрацию товарного знака, были идентифицированы «с достаточной ясностью и точностью, чтобы позволить компетентным органам и хозяйствующим субъектам только на этом основании определять степень искомой защиты «.
Второй вопрос был рассмотрен со ссылкой на это общее требование ясности и точности. Общие термины, используемые в заголовках классов Ниццкой классификации, приемлемы для использования в спецификациях товаров и услуг при условии, что в каждом конкретном случае соответствующий термин достаточно ясен и точен.
Третий вопрос, относящийся к практике OHIM «заголовок класса охватывает все», был более спорным. Генеральный адвокат рекомендовал отклонить практику OHIM в соответствии с Сообщением 4/03 как несовместимую с требованиями ясности и точности, которые подразумеваются в юридических тестах.
К сожалению, Суд не последовал заключению Генерального прокурора. Однако это также не привело к явной пользе практики OHIM. Вместо этого Суд избрал компромиссную позицию, которая теоретически отвергает существующую позицию OHIM, но в действительности допускает продолжение практики с учетом косметических изменений.
На словах подтверждая недавно сформулированные требования ясности и точности, изложенные ранее в решении, Суд постановил, что «заявитель на национальный товарный знак, который использует все общие обозначения заголовка определенного класса Ниццкой классификации, чтобы идентифицировать товары или услуги, для которых испрашивается охрана товарного знака, должно указывать, предназначена ли заявка на регистрацию для охвата всех товаров или услуг, включенных в алфавитный список соответствующего конкретного класса, или только некоторых из этих товаров или услуг » .
По сути, подход «заголовок класса охватывает все» остается в игре с двумя небольшими поправками: теперь необходимо явно указать намерение полагаться на него; и он ограничен алфавитным списком товаров и услуг. Что касается последнего пункта, хотя это не упоминается явно, следует предположить, что для данной регистрации соответствующий алфавитный список будет тем, который применим к редакции Ниццкой классификации, действующей на момент подачи.
На первый взгляд, это решение неудовлетворительно и может вызвать дальнейшие осложнения, поскольку реестры попытаются применить его на практике.В частности, в решении отсутствует внутренняя последовательность. В пункте 49 Суд прямо указывает, что спецификация должна позволять сторонним операторам понимать объем прав, «только на этом основании» ; тем не менее, всего лишь через двенадцать абзацев Суд подтверждает практику, которая требует, чтобы субъект экономической деятельности, столкнувшись со спецификацией заголовка класса, достал свою копию Ниццкой классификации (после тщательной проверки, какая редакция действовала на момент подачи заявки) и затем сверьтесь с соответствующим алфавитным списком, чтобы выяснить, рискуют ли они нарушить знак.
OHIM уже отреагировала на это решение, опубликовав Сообщение № 2/12 Президента. Это сообщение, опубликованное на следующий день после принятия решения, отменяет Сообщение № 4/03 и разъясняет практику OHIM в отношении Заголовков классов в будущем. В отношении существующих регистраций и заявок OHIM будет действовать исходя из предположения, что такие заявки, поскольку они охватывают весь заголовок класса, предназначены для охвата всех товаров или услуг в этом классе.
Для будущих заявок, когда кандидат охватывает все термины в заголовке класса, необходимо будет явно указать, есть ли намерение охватить все товары или услуги в алфавитном списке для этого класса.В Сообщении также разъясняется, что интерпретация этих товаров или услуг после того, как они будут сочтены охваченными, будет происходить на буквальной основе с использованием терминологии алфавитного списка в качестве отправной точки.
Сообщение также подтверждает, что если общие термины, содержащиеся в заголовках классов, используются в спецификации, они будут изучены в свете требования ясности и точности. Однако неясно, насколько это требование будет применяться в тех случаях, когда эти термины появляются как часть заголовка класса, который используется как сокращение для охвата всех товаров и услуг в алфавитном списке.Если эти два требования применяются по отдельности, возникает неловкая ситуация, когда механизм «заголовок класса охватывает все» доступен только в отношении тех классов, где термины заголовка класса уже соответствуют требованиям ясности и точности: эффективно: , двухуровневая система классификации, в которой очень широкий охват можно легко получить по одним классам, но не по другим.
В целом решение неудовлетворительное, и вполне вероятно, что решение приведет к большей неразберихе, а также к большему количеству споров, поскольку практикующие специалисты, владельцы товарных знаков и конкурирующие предприятия будут бороться как с более жесткой проверкой спецификаций, так и, Как это ни парадоксально, увеличение подразумеваемого объема регистрации некоторых товарных знаков, которое, в отличие от предыдущей практики OHIM, будет применяться как в процедурах регистрации, так и в действиях по нарушению прав.
Hastings Guise , старший юрист группы по защите и соблюдению прав интеллектуальной собственности в Fieldfisher
Делиться
Преобразователь сетевых IP-адресов
— Служба Windows 10
Преобразователь сетевых IP-адресов — Служба Windows 10
Переводчик сетевых адресов IP от корпорации Microsoft.
Эта служба также существует в Windows 7, 8, Vista и XP.
Тип запуска
| 1507 | Ручная | Ручная | Ручная | Ручная |
| 1511 | Ручная | Ручная | Ручная | Ручная |
| 1607 | Ручная | Ручная | Ручная | Ручная |
| 1703 | Ручная | Ручная | Ручная | Ручная |
| 1709 | Ручная | Ручная | Ручная | Ручная |
| 1803 | Ручная | Ручная | Ручная | Ручная |
| 1809 | Ручная | Ручная | Ручная | Ручная |
| 1903 | Ручная | Ручная | Ручная | Ручная |
| 1909 | Ручная | Ручная | Ручная | Ручная |
| 2004 | Ручная | Ручная | Ручная | Ручная |
| 20х3 | Ручная | Ручная | Ручная | Ручная |
| 21х2 | Ручная | Ручная | Ручная | Ручная |
Свойства по умолчанию
| Отображаемое имя: | Транслятор IP-адресов сети |
| Имя службы: | IPNAT |
| Тип: | ядро |
| Путь: | % WinDir% \ System32 \ drivers \ ipnat.sys |
| Контроль ошибок: | нормальный |
Поведение по умолчанию
Служба транслятора сетевых IP-адресов — это драйвер режима ядра. Если транслятор сетевых IP-адресов не запускается, ошибка регистрируется. Запуск Windows 10 продолжается, но отображается окно сообщения о том, что служба IPNAT не запустилась.
Зависимости
Преобразователь сетевых IP-адресов не может запуститься, если служба драйвера протокола TCP / IP остановлена или отключена.
Восстановить тип запуска по умолчанию для преобразователя сетевых IP-адресов
Автоматическое восстановление
1. Выберите выпуск и выпуск Windows 10, а затем нажмите кнопку Загрузить ниже.
2. Сохраните файл RestoreIPNetworkAddressTranslatorWindows10.bat в любой папке на жестком диске.
3. Щелкните загруженный пакетный файл правой кнопкой мыши и выберите Запуск от имени администратора .
4. Перезагрузите компьютер, чтобы сохранить изменения.
Примечание. Убедитесь, что файл ipnat.sys существует в папке % WinDir% \ System32 \ drivers . Если этот файл отсутствует, вы можете попытаться восстановить его с установочного носителя Windows 10.
Да, хотя я пойду долиной тени смертной, я не убоюсь зла: ибо Ты со мной; твой жезл и твой посох утешают меня.
Трансляция сетевых адресов (NAT) — GeeksforGeeks
Для доступа в Интернет необходим один общедоступный IP-адрес, но мы можем использовать частный IP-адрес в нашей частной сети.Идея NAT состоит в том, чтобы разрешить нескольким устройствам выходить в Интернет через один публичный адрес. Для этого требуется преобразование частного IP-адреса в общедоступный IP-адрес. Преобразование сетевых адресов (NAT) — это процесс, в котором один или несколько локальных IP-адресов преобразуются в один или несколько глобальных IP-адресов и наоборот, чтобы обеспечить доступ в Интернет для локальных хостов. Кроме того, он выполняет преобразование номеров портов, т. Е. Маскирует номер порта хоста другим номером порта в пакете, который будет направлен в пункт назначения.Затем он делает соответствующие записи IP-адреса и номера порта в таблице NAT. NAT обычно работает на маршрутизаторе или межсетевом экране.
Трансляция сетевых адресов (NAT) работает —
Обычно граничный маршрутизатор настроен для NAT, то есть маршрутизатор, который имеет один интерфейс в локальной (внутренней) сети и один интерфейс в глобальной (внешней) сети. Когда пакет проходит за пределы локальной (внутренней) сети, NAT преобразует этот локальный (частный) IP-адрес в глобальный (общедоступный) IP-адрес.Когда пакет попадает в локальную сеть, глобальный (общедоступный) IP-адрес преобразуется в локальный (частный) IP-адрес.
Если у NAT заканчиваются адреса, т. Е. В настроенном пуле не осталось адреса, то пакеты будут отброшены, и пакет о недоступности хоста ICMP отправляется адресату.
Зачем маскировать номера портов?
Предположим, что в сети подключены два хоста A и B. Теперь оба они запрашивают одно и то же место назначения, на одном и том же номере порта, скажем 1000, на стороне хоста в одно и то же время.Если NAT выполняет только преобразование IP-адресов, то, когда их пакеты будут поступать в NAT, оба их IP-адреса будут замаскированы общедоступным IP-адресом сети и отправлены в пункт назначения. Пункт назначения отправит ответы на общедоступный IP-адрес маршрутизатора. Таким образом, при получении ответа для NAT будет непонятно, какой ответ принадлежит какому хосту (поскольку номера портов источника для A и B одинаковы). Следовательно, чтобы избежать такой проблемы, NAT также маскирует номер порта источника и делает запись в таблице NAT.
Внутренний и внешний адреса NAT —
Внутренний относится к адресам, которые необходимо преобразовать. Внешний относится к адресам, которые не контролируются организацией. Это сетевые адреса, в которых будет производиться перевод адресов.
- Внутренний локальный адрес — IP-адрес, назначенный узлу во внутренней (локальной) сети. Адрес, вероятно, не является IP-адресом, назначенным поставщиком услуг i.е., это частные IP-адреса. Это внутренний хост, видимый из внутренней сети.
- Внутренний глобальный адрес — IP-адрес , который представляет один или несколько внутренних локальных IP-адресов для внешнего мира. Это внутренний хост, видимый из внешней сети.
- Внешний локальный адрес — Это фактический IP-адрес хоста назначения в локальной сети после преобразования.
- Внешний глобальный адрес — Это внешний хост, видимый из внешней сети.Это IP-адрес внешнего целевого хоста до преобразования.
Типы трансляции сетевых адресов (NAT) —
Существует 3 способа настройки NAT:
- Статический NAT — В этом случае один незарегистрированный (частный) IP-адрес сопоставляется с официально зарегистрированным ( Общедоступный) IP-адрес, т. Е. Однозначное соответствие между локальным и глобальным адресами. Обычно это используется для веб-хостинга. Они не используются в организациях, поскольку существует множество устройств, которым требуется доступ в Интернет, а для обеспечения доступа в Интернет необходим общедоступный IP-адрес.
Предположим, что если имеется 3000 устройств, которым требуется доступ к Интернету, организация должна купить 3000 общедоступных адресов, что будет очень дорого.
- Динамический NAT — В этом типе NAT незарегистрированный IP-адрес преобразуется в зарегистрированный (общедоступный) IP-адрес из пула общедоступных IP-адресов. Если IP-адрес пула не является свободным, то пакет будет отброшен, поскольку только фиксированное количество частных IP-адресов может быть преобразовано в общедоступные адреса.
Предположим, что если существует пул из 2 общедоступных IP-адресов, тогда только 2 частных IP-адреса могут быть преобразованы в данный момент времени. Если третий частный IP-адрес хочет получить доступ к Интернету, пакет будет отброшен, поэтому многие частные IP-адреса сопоставляются с пулом общедоступных IP-адресов. NAT используется, когда количество пользователей, желающих получить доступ в Интернет, фиксировано. Это также очень дорого, поскольку организации приходится покупать много глобальных IP-адресов для создания пула.
- Преобразование адресов порта (PAT) — Это также известно как перегрузка NAT.При этом многие локальные (частные) IP-адреса могут быть преобразованы в один зарегистрированный IP-адрес. Номера портов используются для различения трафика, т. Е. Какой трафик принадлежит какому IP-адресу. Это наиболее часто используется, поскольку это рентабельно, поскольку тысячи пользователей могут быть подключены к Интернету, используя только один реальный глобальный (общедоступный) IP-адрес.
Преимущества NAT —
- NAT сохраняет официально зарегистрированные IP-адреса.
- Это обеспечивает конфиденциальность, поскольку IP-адрес устройства, отправляющего и получающего трафик, будет скрыт.
- Устраняет перенумерацию адресов при развитии сети.
Недостаток NAT —
- Трансляция приводит к задержкам пути переключения.
- Некоторые приложения не будут работать, пока включен NAT.
- Усложняет протоколы туннелирования, такие как IPsec.
- Кроме того, маршрутизатор, являющийся устройством сетевого уровня, не должен вмешиваться в номера портов (транспортный уровень), но он должен это делать из-за NAT.
Вниманию читателя! Не прекращайте учиться сейчас. Ознакомьтесь со всеми важными концепциями теории CS для собеседований SDE с помощью курса CS Theory Course по доступной для студентов цене и подготовьтесь к работе в отрасли.
rfc2663
Сетевая рабочая группа П. Срисуреш
Запрос комментариев: 2663 M. Holdrege
Категория: Информационные технологии Lucent
Август 1999 г.
Терминология и соображения по транслятору сетевых IP-адресов (NAT)
Статус этого меморандума
Эта памятка содержит информацию для Интернет-сообщества.Оно делает
не указывать какие-либо стандарты Интернета. Распространение этого
памятка не ограничена.
Уведомление об авторских правах
Авторское право (C) The Internet Society (1999). Все права защищены.
Предисловие
Мотивация, стоящая за этим документом, состоит в том, чтобы внести ясность в
термины, используемые вместе с трансляторами сетевых адресов. Срок
«Транслятор сетевых адресов» означает разные вещи в разных
контексты. Цель этого документа - определить различные
разновидности NAT и стандартизировать значение используемых терминов.Указанные авторы являются редакторами этого документа и имеют право на содержание
к вкладам членов рабочей группы. Большие куски
документ под названием "Транслятор сетевых IP-адресов (NAT)" был
извлечены почти как есть, чтобы сформировать начальную основу для этого документа.
Редакция выражает благодарность авторам Пайде Срисуреш и Кьельду.
Егеванг за то же самое. Редакция выражает благодарность Правин
Аккираджу за его вклад в описание развертывания NAT.
сценарии. Редакция также хотела бы поблагодарить членов IESG.
Скотту Брэднеру, Верну Паксону и Томасу Нартену за подробные
просмотр документа и внесение ясности в текст.Абстрактный
Трансляция сетевых адресов - это метод, с помощью которого IP-адреса
отображены из одной области в другую, в попытке предоставить
прозрачная маршрутизация к хостам. Традиционно устройства NAT используются для
соединить изолированную область адресов с частными незарегистрированными адресами
во внешнюю область с глобально уникальными зарегистрированными адресами. Этот
документ пытается описать работу устройств NAT и
связанные с этим соображения в целом и для определения терминологии
используется для идентификации различных разновидностей NAT.Информационное сообщение Srisuresh & Holdrege [Страница 1] RFC 2663 Терминология NAT и соображения Август 1999 г. 1. Введение и обзор Необходимость в трансляции IP-адресов возникает, когда внутренняя сеть IP-адреса нельзя использовать вне сети, потому что они недопустимы для использования вне помещений или потому, что внутренняя адресация должна быть закрытым от внешней сети. Преобразование адресов позволяет (во многих случаях, за исключением случаев, указанных в разделы 8 и 9) хосты в частной сети для прозрачного общаться с пунктами назначения во внешней сети и наоборот.Существует множество разновидностей NAT и соответствующих им терминов. Этот документ пытается определить используемую терминологию и идентифицировать различные разновидности NAT. В документе также делается попытка описать другие соображения, применимые к устройствам NAT в целом. Обратите внимание, однако, что этот документ не предназначен для описания операции отдельных вариантов NAT или применимость NAT устройств. Устройства NAT пытаются предоставить решение прозрачной маршрутизации для завершения хосты пытаются общаться из разных адресных областей.Это достигается путем изменения адресов конечных узлов на маршруте и поддержания состояние для этих обновлений, чтобы датаграммы, относящиеся к сеансу, направляется к правому конечному узлу в любой области. Только это решение работает, когда приложения не используют IP-адреса как часть сам протокол. Например, определение конечных точек с помощью DNS имена, а не адреса, делают приложения менее зависимыми от фактические адреса, которые выбирает NAT, и избегает необходимости также переводить содержимое полезной нагрузки, когда NAT изменяет IP-адрес.Функция NAT не может сама по себе поддерживать все приложения. прозрачно и часто должны сосуществовать со шлюзами уровня приложения (ALG) по этой причине. Люди, желающие развернуть решения на основе NAT сначала необходимо определить требования к их заявкам и оценить Расширения NAT (то есть ALG), необходимые для обеспечения приложения прозрачность для окружающей их среды. Методы IPsec, которые предназначены для сохранения конечной точки адреса IP-пакета не будут работать с NAT на маршруте для большинства применения на практике.Такие методы, как AH и ESP, защищают содержимое заголовков IP (включая источник и место назначения адреса) от модификации. Тем не менее, основная роль NAT состоит в том, чтобы изменить адреса в IP-заголовке пакета. 2. Терминология и используемые концепции Термины, наиболее часто используемые в контексте NAT, определены здесь для ссылка. Информационное сообщение Srisuresh & Holdrege [Страница 2]
RFC 2663 Терминология NAT и соображения Август 1999 г. 2.1. Область адресов или область Область адресов - это сетевой домен, в котором сетевые адреса однозначно назначаются объектам, так что дейтаграммы могут быть маршрутизированы им. Протоколы маршрутизации, используемые в сетевом домене: отвечает за поиск маршрутов к объектам с учетом их сети адреса. Обратите внимание, что этот документ ограничен описанием NAT в Среда IPv4 и не рассматривает использование NAT в других типах. окружающей среды. (например, среды IPv6) 2.2. Прозрачная маршрутизация Термин «прозрачная маршрутизация» используется по всему документу для определить функциональные возможности маршрутизации, предоставляемые устройством NAT.Этот отличается от функциональности маршрутизации, предоставляемой традиционным устройство маршрутизатора в том, что традиционный маршрутизатор маршрутизирует пакеты в пределах единая адресная область. Прозрачная маршрутизация относится к маршрутизации дейтаграммы между разными области адресов, изменяя содержимое адреса в заголовке IP, чтобы действителен в адресной области, в которую маршрутизируется дейтаграмма. В разделе 3.2 есть подробное описание прозрачной маршрутизации. 2.3. Поток сеанса против потока пакетов Потоки подключения или сеанса отличаются от потоков пакетов.А поток сеанса указывает направление, в котором был проведен сеанс. инициируется со ссылкой на сетевой интерфейс. Пакетный поток - это направление, в котором отправился пакет, со ссылкой на сетевой интерфейс. Возьмем, к примеру, исходящую сессию Telnet. В сеанс telnet состоит из потоков пакетов как для входящих, так и для исходящих направления. Исходящие пакеты Telnet содержат нажатия клавиш терминала и входящие пакеты telnet переносят экранные изображения с сервера telnet. Для целей обсуждения в этом документе сеанс определяется как набор трафика, который управляется как единица для перевода.Сеансы TCP / UDP однозначно идентифицируются кортежем (IP-адрес источника адрес, исходный порт TCP / UDP, целевой IP-адрес, целевой TCP / UDP порт). Сеансы запросов ICMP идентифицируются кортежем (IP-адрес источника адрес, идентификатор запроса ICMP, целевой IP-адрес). Все остальные сеансы характеризуется кортежем (исходный IP-адрес, целевой IP-адрес, Протокол IP). Преобразование адресов, выполняемое NAT, основано на сеансах и будет включать трансляцию входящих и исходящих пакетов, принадлежащих к этой сессии.Направление сеанса определяется направлением первый пакет этого сеанса (см. раздел 2.5). Информационное сообщение Srisuresh & Holdrege [Страница 3]
RFC 2663 Терминология NAT и соображения Август 1999 г. Обратите внимание, нет никакой гарантии, что идея сеанса, определенная как выше через NAT, будет совпадать с представлением приложения о сеансе. Приложение может просматривать набор сеансов (с точки зрения NAT) как один сеанс и может даже не просматривать его связь со своим сверстники как сеанс.Не все приложения гарантированно работают через области, даже с ALG (определенным ниже в разделе 2.9) в пути. 2.4. Порты TU, порты сервера, порты клиента В качестве напоминания об этом документе мы будем ссылаться на порты TCP / UDP. связаны с IP-адресом просто как «порты TU». Для большинства хостов TCP / IP серверами используется диапазон портов TU 0-1023. прослушивание входящих соединений. Клиенты, пытающиеся инициировать соединение обычно выбирают порт TU источника в диапазоне 1024- 65535.Однако это соглашение не универсально и не всегда последовал. Некоторые клиентские станции инициируют соединения, используя исходный TU. номер порта в диапазоне 0-1023, и есть серверы, которые слушают по номерам портов ТУ в диапазоне 1024-65535. Список назначенных услуг порта TU можно найти в RFC 1700 [Ref 2]. 2.5. Начало сеанса для TCP, UDP и др. Первый пакет каждого сеанса TCP пытается установить сеанс и содержит информацию о запуске подключения. Первый пакет Сеанс TCP можно распознать по наличию бита SYN и отсутствию бита ACK в флагах TCP.Все пакеты TCP, за исключением первый пакет должен иметь установленный бит ACK. Однако детерминированного способа распознать начало Сеанс на основе UDP или любой сеанс без TCP. Эвристический подход принимать первый пакет с несуществующей до сих пор сессией параметры (как определено в разделе 2.3) как составляющие начало новая сессия. 2.6. Конец сеанса для TCP, UDP и др. Конец TCP-сеанса обнаруживается, когда FIN подтверждается обоими половины сеанса или когда одна из половин получает сегмент с Бит RST в поле флагов TCP.Однако, поскольку это невозможно для Устройство NAT, чтобы узнать, действительно ли пакеты, которые оно видит, будут доставлены в пункт назначения (они могут быть сброшены между NAT устройство и место назначения), устройство NAT не может безопасно предполагать, что сегменты, содержащие FIN или SYN, будут последними пакетами сеанс (т.е. могут быть повторные передачи). Следовательно, можно предположить, что сеанс был завершен только после периода Информационное сообщение Srisuresh & Holdrege [Страница 4]
RFC 2663 Терминология NAT и соображения Август 1999 г. 4 минуты после этого обнаружения.Потребность в этом расширенном период ожидания описан в RFC 793 [Ref 7], который предлагает TIME- WAIT длительностью 2 * MSL (максимальное время жизни сегмента) или 4 минуты. Обратите внимание, что TCP-соединение также может прерваться. без уведомления устройства NAT о событии (например, в случае где один или оба пира перезагружаются). Следовательно, сборка мусора необходимо на устройствах NAT для очистки неиспользуемого состояния о сеансах TCP которые больше не существуют. Однако в общем случае это невозможно. различать соединения, которые не использовались в течение длительный период времени от тех, которых больше нет.В этом случае сеансов на основе UDP, нет единого способа определить, когда сеанс завершается, поскольку протоколы на основе UDP зависят от приложения. Для завершения сеанса используются многие эвристические подходы. Вы можете сделайте предположение, что сеансы TCP, которые не использовались для скажем, 24 часа и сеансы без TCP, которые не использовались для пара минут, окончены. Часто это предположение работает, но иногда это не так. Эти тайм-ауты сеанса в период простоя сильно различаются. работать как от приложения к приложению, так и для разных сеансов того же приложения.Следовательно, таймауты сеанса должны быть настраиваемый. Даже в этом случае нет гарантии, что удовлетворительный значение можно найти. Кроме того, как указано в разделе 2.3, нет гарантировать, что взгляд NAT на завершение сеанса будет совпадать с что из приложения. Другой способ обработать завершение сеанса - поставить отметку времени для записей. и сохраните их как можно дольше и удалите самый длинный сеанс простоя когда это станет необходимо. 2.7. Публичная / Глобальная / Внешняя сеть Глобальная или общедоступная сеть - это область адресов с уникальной сетью. адреса, присвоенные Управлением по присвоению номеров в Интернете (IANA) или эквивалентный реестр адресов.Эта сеть также упоминается как Внешняя сеть во время обсуждения NAT. 2.8. Частная / локальная сеть Частная сеть - это область адресов, независимая от внешней сети. адреса. Частная сеть также может называться Локальная Сеть. Прозрачная маршрутизация между хостами в частной сфере и внешняя область поддерживается маршрутизатором NAT. RFC 1918 [Ref 1] содержит рекомендации по выделению адресного пространства для частные сети. Управление по распределению номеров в Интернете (IANA) имеет три блока IP-адресного пространства, а именно 10/8, 172.16/12, и 192.168 / 16, предназначенные для частных сетей. В нотации до CIDR Информационное сообщение Srisuresh & Holdrege [Страница 5]
RFC 2663 Терминология NAT и соображения Август 1999 г. первый блок - это не что иное, как один сетевой номер класса A, в то время как второй блок представляет собой набор из 16 смежных сетей класса B, а Третий блок - это набор из 256 смежных сетей класса C. Организация, решившая использовать IP-адреса в адресном пространстве. определенное выше, может делать это без согласования с IANA или любым другим Интернет-реестры, такие как APNIC, RIPE и ARIN.Адресное пространство таким образом, может использоваться в частном порядке многими независимыми организациями в в то же время. Однако, если эти независимые организации позже решат они хотят общаться друг с другом или в общедоступном Интернете, они придется либо изменить нумерацию своих сетей, либо включить NAT на своих пограничные маршрутизаторы. 2.9. Шлюз уровня приложения (ALG) Не все приложения легко поддаются трансляции через NAT. устройства; особенно те, которые включают IP-адреса и порты TCP / UDP в полезной нагрузке.Шлюзы уровня приложения (ALG) - это приложения специальные агенты перевода, которые позволяют приложению на хосте в одна область адресов для подключения к своей копии, запущенной на хосте в различное царство прозрачно. ALG может взаимодействовать с NAT для настройки состояние, использование информации о состоянии NAT, изменение полезной нагрузки конкретного приложения и выполните все остальное, что необходимо для запуска приложения. через разрозненные адресные области. ALG не всегда могут использовать информацию о состоянии NAT.Они могут подобрать полезная нагрузка приложения и просто уведомите NAT, чтобы добавить дополнительное состояние информация в некоторых случаях. ALG похожи на прокси в том, что оба ALG и прокси-серверы упрощают взаимодействие с конкретными приложениями между клиентами и серверами. Прокси-серверы используют специальный протокол для общаться с прокси-клиентами и передавать клиентские данные на серверы и наоборот. В отличие от прокси, ALG не используют специальный протокол для общаться с клиентами приложений и не требовать изменений в клиенты приложений.3. Что такое NAT? Трансляция сетевых адресов - это метод, с помощью которого IP-адреса отображается из одной адресной области в другую, обеспечивая прозрачную маршрутизация к конечным хостам. Есть много вариантов адреса переводы, пригодные для различных приложений. Тем не мение, все разновидности устройств NAT должны иметь следующие характеристики. Информационное сообщение Srisuresh & Holdrege [Страница 6]
RFC 2663 Терминология NAT и соображения Август 1999 г.
а) Прозрачное присвоение адреса.б) Прозрачная маршрутизация посредством трансляции адресов.
(здесь под маршрутизацией понимается пересылка пакетов, а не
обмен маршрутной информацией)
c) преобразование полезной нагрузки пакета ошибок ICMP.
Ниже приведена диаграмма, иллюстрирующая сценарий, в котором NAT включен на
пограничный маршрутизатор тупикового домена, подключенный к Интернету через
региональный маршрутизатор, предоставляемый поставщиком услуг.
\ | /. /
+ --------------- + WAN.+ ----------------- + /
| Региональный маршрутизатор | ---------------------- | Шлейфовый маршрутизатор с NAT | ---
+ --------------- +. + ----------------- + \
. | \
. | LAN
. ---------------
Заглушка границы
Рисунок 1: Типичный сценарий работы NAT
3.1. Прозрачное присвоение адреса
NAT связывает адреса в частной сети с адресами в глобальном
сети и наоборот, чтобы обеспечить прозрачную маршрутизацию для
датаграммы, перемещающиеся между адресными областями.Связывание в некоторых
случаи могут распространяться на идентификаторы транспортного уровня (например, TCP / UDP
порты). Привязка адреса выполняется в начале сеанса. В
В следующих подразделах описываются два типа назначения адресов.
3.1.1. Назначение статического адреса
В случае присвоения статического адреса существует взаимно однозначный адрес.
сопоставление хостов между адресом частной сети и внешним
сетевой адрес на время работы NAT. Статический адрес
назначение гарантирует, что NAT не должен администрировать адрес
управление потоками сеансов.3.1.2. Назначение динамического адреса
В этом случае внешние адреса назначаются частной сети.
хосты или наоборот, динамически в зависимости от требований использования и
поток сеанса определяется эвристически NAT. Когда последний сеанс
использование привязки адреса прекращено, NAT освободит привязку, поэтому
что глобальный адрес может быть переработан для последующего использования. Точный
характер назначения адресов зависит от конкретного NAT
реализации.
Информационное сообщение Srisuresh & Holdrege [Страница 7] RFC 2663 Терминология NAT и соображения Август 1999 г. 3.2. Прозрачная маршрутизация Маршрутизатор NAT находится на границе между двумя адресными областями и транслирует адреса в заголовках IP, так что когда пакет покидает один область и входит в другую, ее можно правильно маршрутизировать. Потому что NAT устройства имеют подключения к нескольким адресным областям, они должны быть осторожно, чтобы не распространять информацию ненадлежащим образом (например, через маршрутизацию протоколы) о сетях из одной адресной области в другую, где такая реклама будет считаться неприемлемой. Преобразование адресов состоит из трех следующих этапов.Вместе эти фазы приводят к созданию, поддержанию и прекращению состояния для сессий, проходящих через устройства NAT. 3.2.1. Привязка адреса Привязка адреса - это этап, на котором IP-адрес локального узла связаны с внешним адресом или наоборот, для целей перевод. Привязка адресов фиксируется назначением статических адресов и является динамическим во время запуска сеанса с динамическим адресом задания. Как только связь между двумя адресами установлена, все последующие сеансы, исходящие от этого хоста или на него, будут использовать такая же привязка для трансляции пакетов на основе сеанса.Привязки новых адресов выполняются в начале нового сеанса, если таковые имеются. привязка адреса еще не существовала. Как только локальный адрес привязаны к внешнему адресу, все последующие сеансы происходят с того же локального адреса или направлено на тот же локальный адрес будет использовать ту же привязку. Начало каждого нового сеанса приведет к созданию состояния для облегчения перевода датаграмм, относящихся к сеансу. Может быть много одновременных сеансов, происходящих из одного и того же хост, основанный на привязке одного адреса.3.2.2. Поиск и перевод адресов Как только состояние установлено для сеанса, все пакеты, принадлежащие сеанс будет подвергаться поиску адресов (и транспорту поиск идентификатора, в некоторых случаях) и перевод. Преобразование адреса или транспортного идентификатора для дейтаграммы будет приводит к пересылке дейтаграммы из области адресов источника в область адресов назначения с соответствующими сетевыми адресами обновлено. Информационное сообщение Srisuresh & Holdrege [Страница 8]
RFC 2663 Терминология NAT и соображения Август 1999 г. 3.2.3. Отмена привязки адреса Отмена привязки адреса - это этап, на котором частный адрес не больше связан с глобальным адресом для целей перевода. NAT выполнит отмену привязки адреса, когда посчитает, что последний сеанс с использованием привязки адреса завершен. См. Раздел 2.6 для некоторых эвристических способов обработки завершения сеанса. 3.3. Трансляция пакетов ошибок ICMP Все сообщения об ошибках ICMP (за исключением типа сообщения «Перенаправление») необходимо будет изменить при прохождении через NAT.Ошибка ICMP типы сообщений, требующие модификации NAT, будут включать пункт назначения- Недостижим, источник гашения, время превышено и проблема с параметром. NAT не следует пытаться изменить тип сообщения перенаправления. Изменения в сообщении об ошибке ICMP будут включать изменения исходного IP-адреса. пакет (или его части), встроенный в полезную нагрузку ICMP сообщение об ошибке. Чтобы NAT был полностью прозрачным до конца хостов, IP-адрес IP-заголовка, встроенный в полезную нагрузку Пакет ICMP должен быть изменен, поле контрольной суммы того же IP заголовок должен быть соответственно изменен, а сопутствующий транспортный заголовок.Контрольная сумма заголовка ICMP также должна быть изменена на отражать изменения, внесенные в заголовки IP и транспорта в полезной нагрузке. Кроме того, необходимо изменить обычный IP-заголовок. 4.0. Различные разновидности NAT Есть много вариантов перевода адресов, которые поддаются к разным приложениям. Варианты NAT, перечисленные в следующих под- разделы ни в коем случае не являются исчерпывающими, но они отражают существенных различий предостаточно. Следующая диаграмма будет использоваться в качестве базовой модели для иллюстрации NAT. ароматы.Хост-A с адресом Addr-A находится в частной области, в лице сети N-Pri. N-Pri изолирован от внешнего сеть через NAT-маршрутизатор. Host-X с адресом Addr-X находится во внешней сфере, представленной сетью N-Ext. NAT-маршрутизатор с двумя интерфейсами, каждый из которых подключен к одной из областей, обеспечивает прозрачная маршрутизация между двумя сферами. Интерфейс к внешней области назначается адрес Addr-Nx и интерфейс к частной области назначается адрес Addr-Np.Кроме того, это может быть понял, что адреса Addr-A и Addr-Np соответствуют N-Pri сети, а адреса Addr-X и Addr-Nx соответствуют N-Ext сеть. Информационное сообщение Srisuresh & Holdrege [Страница 9]
RFC 2663 Терминология NAT и соображения Август 1999 г.
________________
()
(Внешний) + - +
(Область адресов) - | __ |
( (Следующий) ) /____\
(________________) Host-X
| (Адрес-X)
| (Адрес-Nx)
+ -------------- +
| |
| NAT-маршрутизатор |
| |
+ -------------- +
| (Адрес-Np)
|
----------------
()
+ - + (Частный)
| __ | ------ (Область адресов)
/ ____ \ ((N-pri))
Хост-А (________________)
(Адрес-A)
Рисунок 2: Базовая модель для иллюстрации терминов NAT.4.1. Традиционный NAT (или) исходящий NAT
Традиционный NAT позволит хостам в частной сети
в большинстве случаев обеспечивает прозрачный доступ к хостам во внешней сети.
В традиционном NAT сеансы являются однонаправленными, исходящими из
частная сеть. Это контрастирует с двунаправленным NAT, который
разрешает сеансы как во входящем, так и в исходящем направлениях. Подробный
Описание двунаправленного NAT можно найти в разделе 4.2.
Ниже приводится описание свойств поддерживаемых областей.
традиционным NAT.IP-адреса хостов во внешней сети
уникальны и действительны как во внешних, так и в частных сетях. Тем не мение,
адреса хостов в частной сети уникальны только в пределах
частная сеть и может не действовать во внешней сети. В
другими словами, NAT не будет рекламировать частные сети внешним
область. Но сети из внешней области могут рекламироваться внутри
частная сеть. Адреса, используемые в частной сети, должны
не пересекаются с внешними адресами.Любой адрес должен
либо частный адрес, либо внешний адрес; не оба.
Srisuresh & Holdrege Information [Страница 10] RFC 2663 Терминология NAT и соображения Август 1999 г. Традиционный NAT-маршрутизатор на рисунке 2 позволит Host-A инициировать сеансов с Host-X, но не наоборот. Кроме того, N-Ext маршрутизируемый изнутри N-Pri, тогда как N-Pri не может быть маршрутизируемым из Следующий. Традиционный NAT в основном используется сайтами, использующими частные адреса. которые хотят разрешить исходящие сеансы со своего сайта.Существует два варианта традиционного NAT, а именно Basic NAT и NAPT (преобразование сетевых адресов и портов). Они обсуждаются в следующие подразделы. 4.1.1. Базовый NAT При использовании Basic NAT блок внешних адресов выделяется для перевод адресов хостов в частном домене по мере их происхождения сеансы во внешний домен. Для пакетов, исходящих из частная сеть, IP-адрес источника и связанные поля, такие как IP, Контрольные суммы заголовков TCP, UDP и ICMP переводятся.Для входящих пакеты, IP-адрес назначения и контрольные суммы, как указано выше переведены. Маршрутизатор Basic NAT на рисунке 2 может быть настроен для преобразования N-Pri в блок внешних адресов, скажем, от Addr-i до Addr-n, выбрал из внешней сети N-Ext. 4.1.2. Трансляция сетевых адресов и портов (NAPT) NAPT расширяет понятие перевода еще на один шаг, также перевод идентификатора транспорта (например, номеров портов TCP и UDP, Идентификаторы запроса ICMP). Это позволяет использовать идентификаторы транспорта количество частных хостов, которые будут мультиплексированы в транспорт идентификаторы единственного внешнего адреса.NAPT позволяет набор хостов для совместного использования одного внешнего адреса. Обратите внимание, что NAPT можно комбинировать с базовым NAT, так что пул внешних адресов используется в в сочетании с трансляцией портов. Для пакетов, исходящих из частной сети, NAPT будет переводить исходный IP-адрес, идентификатор исходного транспорта и связанные поля такие как контрольные суммы заголовков IP, TCP, UDP и ICMP. Идентификатор транспорта может быть одним из портов TCP / UDP или идентификатором запроса ICMP. Для входящих пакетов IP-адрес назначения, идентификатор транспорта назначения и IP-адрес и контрольные суммы заголовка транспорта переводятся.Информационное сообщение Srisuresh & Holdrege [Страница 11]
RFC 2663 Терминология NAT и соображения Август 1999 г. Маршрутизатор NAPT на рисунке 2 может быть настроен для трансляции сеансов. исходят из N-Pri на один внешний адрес, скажем, Addr-i. Очень часто адрес внешнего интерфейса Addr-Nx маршрутизатора NAPT используется как адрес для сопоставления N-Pri с. 4.2. Двунаправленный NAT (или) двусторонний NAT Благодаря двунаправленному NAT сеансы могут быть инициированы с хостов в общедоступная сеть, а также частная сеть.Частная сеть адреса привязаны к глобально уникальным адресам, статически или динамически, поскольку соединения устанавливаются в любом направлении. В пространство имен (т. е. их полные доменные имена) между хостами в частных и внешних сетях считается сквозным уникальным. Хосты во внешней области получают доступ к хостам частной области с помощью DNS для разрешение адреса. DNS-ALG должен использоваться вместе с Двунаправленный NAT для облегчения преобразования имени в адрес. В частности, DNS-ALG должен быть способен переводить частные адреса области в запросах DNS и ответы на их внешние привязки адресов области, и наоборот, при прохождении пакетов DNS между частной и внешней сферами.Требования к адресному пространству для традиционных маршрутизаторов NAT применимы и здесь. Двунаправленный NAT-маршрутизатор на рисунке 2 позволит Host-A инициировать сеансы для Host-X и Host-X, чтобы инициировать сеансы для Хост-А. Как и в случае с традиционным NAT, N-Ext маршрутизируется изнутри. N-Pri, но N-Pri может не маршрутизироваться с N-Ext. 4.3. Дважды NAT Дважды NAT - это вариант NAT, в котором как источник, так и адреса назначения изменяются NAT, когда дейтаграмма пересекает адресные области.Это в отличие от традиционного NAT и Bi- Направленный NAT, где только один из адресов (либо источник, либо пункт назначения) переводится. Обратите внимание, нет такого термина, как «Однажды- NAT '. Дважды NAT необходим, когда частные и внешние области имеют адреса столкновения. Чаще всего это происходит, когда сайт (неправильно) пронумеровал свои внутренние узлы, используя общедоступные адреса, которые были присвоены другой организации. В качестве альтернативы сайт мог быть изменен от одного провайдера к другому, но решил сохранить (внутренне) адреса, которые он назначил первый провайдер.Позже этот провайдер может переназначить эти обращается к кому-то другому. Ключевой проблемой в таких случаях является то, что адрес хоста во внешней области мог быть назначен Srisuresh & Holdrege Information [Страница 12]
RFC 2663 Терминология NAT и соображения Август 1999 г. тот же адрес, что и у хоста на локальном сайте. Если бы этот адрес был появятся в пакете, он будет перенаправлен на внутренний узел, а не чем через устройство NAT во внешнюю область.Дважды попытки NAT соединить эти области, переведя как источник, так и пункт назначения адрес IP-пакета при переходе между областями пакета. Twice-NAT работает следующим образом. Когда Host-A желает инициировать сеанс для Host-X он выдает DNS-запрос для Host-X. DNS-ALG перехватывает DNS-запрос, и в ответе, возвращенном узлу A, DNS-ALG заменяет адрес для Host-X на тот, который правильно маршрутизируется в локальный сайт (скажем, Host-XPRIME). Затем хост A инициирует связь с Host-XPRIME.Когда пакеты проходят через NAT-устройство, исходный IP-адрес транслируется (как в случае традиционного NAT) а адрес назначения транслируется в Host-X. Похожий трансляция выполняется на ответных пакетах, приходящих от Host-X. Ниже приводится описание свойств поддерживаемых областей. пользователя Twice-NAT. Сетевые адреса хостов во внешней сети уникальны во внешних сетях, но не в частной сети. Точно так же сетевой адрес хостов в частной сети уникален только в пределах частная сеть.Другими словами, адресное пространство, используемое в частная сеть для поиска хостов в частных и общедоступных сетях. не связано с адресным пространством, используемым в общедоступной сети для поиска хостов в частных и публичных сетях. Дважды NAT не сможет рекламировать локальные сети во внешнюю сеть или наоборот. Маршрутизатор Twice NAT на рисунке 2 позволит Host-A инициировать сеансы с Host-X и Host-X для инициирования сеансов с Host-A. Однако N-Ext (или подмножество N-Ext) не маршрутизируется изнутри N- Pri и N-Pri не маршрутизируются с N-Ext.Двойной NAT обычно используется, когда адресное пространство используется в частном сеть пересекается с адресами, используемыми в публичном пространстве. Для Например, скажем, частный сайт использует адресное пространство 200.200.200.0/24. который официально закреплен за другим сайтом в общедоступном Интернете. Host_A (200.200.200.1) в приватном пространстве пытается подключиться к Host_X (200.200.200.100) в публичном пространстве. Чтобы установить эту связь работают, адрес Host_X отображается на другой адрес для Host_A наоборот.Двойной NAT, расположенный на границе частного сайта, может быть настроенным следующим образом: Srisuresh & Holdrege Information [Страница 13]
RFC 2663 Терминология NAT и соображения Август 1999 г.
От частного к публичному: 200.200.200.0/24 -> 138.76.28.0/24
От публичного к частному: 200.200.200.0/24 -> 172.16.1.0/24
Поток дейтаграмм: Host_A (частный) -> Host_X (общедоступный)
а) Внутри частной сети
ДА: 172.16.1.100 SA: 200.200.200.1
б) После двукратной трансляции NAT
DA: 200.200.200.100 SA: 138.76.28.1
Поток дейтаграмм Host_X (общедоступный) -> Host_A (частный)
а) Внутри публичной сети
DA: 138.76.28.1 SA: 200.200.200.100
б) После двукратной трансляции NAT в частной сети
SA: 200.200.200.1 DA: 172.16.1.100
4.4. Многосетевой NAT
Есть ограничения на использование NAT. Например, запросы и
ответы, относящиеся к сеансу, должны маршрутизироваться через тот же NAT.
маршрутизатор, поскольку маршрутизатор NAT поддерживает информацию о состоянии для сеансов
установлен через него.По этой причине часто предлагается
Маршрутизаторы NAT должны работать на граничном маршрутизаторе, уникальном для тупикового домена,
где все IP-пакеты либо исходят из домена, либо
предназначено для домена. Однако такая конфигурация превратила бы
Маршрутизатор NAT в единую точку отказа.
Чтобы частная сеть обеспечивала подключение к
внешние сети сохраняются даже при выходе из строя одного из каналов NAT, это
часто желательно, чтобы частная сеть была подключена к одной и той же или
несколько поставщиков услуг с несколькими подключениями из частного
домен, будь то из одного или разных ящиков NAT.Например, в частной сети могут быть ссылки на два разных
провайдеры и сеансы от частных хостов могут проходить через
Маршрутизатор NAT с наилучшей метрикой для пункта назначения. Когда один из NAT
маршрутизаторы выходят из строя, другой может маршрутизировать трафик для всех подключений.
Srisuresh & Holdrege Information [Страница 14] RFC 2663 Терминология NAT и соображения Август 1999 г. Несколько блоков NAT или несколько ссылок на одном блоке NAT, совместно использующие та же конфигурация NAT может обеспечить отказоустойчивое резервное копирование друг для друга.В таком случае необходимо, чтобы резервное устройство NAT обменивалось информация о состоянии, чтобы резервный NAT мог взять на себя нагрузку сеанса прозрачно при отказе основного NAT. Резервное копирование NAT становится проще, когда конфигурация основана на статических картах. 5.0. IP-адрес для конкретной области (RSIP) "Realm Specific IP" (RSIP) используется для характеристики функциональности хоста, осведомленного о царстве, в частном царстве, которое предполагает конкретный IP-адрес для связи с хостами в частном или внешнем область.«Клиент IP для конкретной области» (клиент RSIP) - это хост в частной сеть, которая принимает адрес во внешней области при подключении к хостам в этой области для непрерывной связи. Пакеты генерируемые хостами на обоих концах в такой настройке, будут основаны на адреса, которые являются сквозными уникальными во внешней области и не требуется перевод с помощью посредника. «Сервер IP для конкретной области» (сервер RSIP) является резидентным узлом на обоих частные и внешние области, которые могут облегчить маршрутизацию внешних пакеты области в частной области.Эти пакеты могут иметь был создан клиентом RSIP или направлен клиенту RSIP. RSIP-сервер также может быть тем же узлом, который назначает внешнюю область обращается к RSIP-клиентам. Существует два варианта RSIP, а именно IP-адрес, зависящий от области. (RSA-IP) и зависящий от области адрес и IP-адрес порта (RSAP-IP). Эти варианты обсуждаются в следующих подразделах. 5.1. IP-адрес для конкретной области (RSA-IP) Клиент Realm Specific Address IP (RSA-IP) принимает IP-адрес от внешнее адресное пространство при подключении к хосту во внешнем область.Как только клиент RSA-IP принимает внешний адрес, никакие другие хост в частном или внешнем домене может принимать один и тот же адрес, пока этот адрес освобождается клиентом RSA-IP. Ниже обсуждаются альтернативы маршрутизации, которые могут быть преследуется для сквозных пакетов RSA-IP в частной сфере. Один подход будет заключаться в туннелировании пакета к месту назначения. Внешний заголовок может транслироваться NAT как обычно, не влияя на адреса, используемые во внутреннем заголовке.Другой подход - настроить двунаправленный туннель между клиентом RSA-IP и пограничный маршрутизатор, охватывающий две адресные области. Пакеты в и из клиент будет туннелирован, но пакеты будут пересылаться как Информационное сообщение Srisuresh & Holdrege [Страница 15]
RFC 2663 Терминология NAT и соображения Август 1999 г.
нормально между пограничным маршрутизатором и удаленным пунктом назначения. Примечание,
туннель от клиента ДО пограничного маршрутизатора может не понадобиться.Вы могли бы просто пересылать пакет напрямую. Это должно
работают до тех пор, пока ваша внутренняя сеть не фильтрует пакеты на основе
на исходных адресах (которые в данном случае будут внешними адресами).
Например, Host-A на рисунке 2 выше может принять адрес
Addr-k из внешней области и действовать как RSA-IP-Client, чтобы разрешить
сквозные сеансы между Addr-k и Addr-X. Прохождение сквозного
конечные пакеты в частной области можно проиллюстрировать следующим образом:
Первый метод, использующий NAT-маршрутизатор для перевода:
================================================== знак равно
Host-A NAT-маршрутизатор Host-X
------ ----------- ------
<Внешний IP-заголовок с
src = Addr-A, Dest = Addr-X>,
встраивание
<Сквозной пакет, с
src = Addr-k, Dest = Addr-X>
----------------------------->
<Внешний IP-заголовок с
src = Addr-k, Dest = Addr-X>,
встраивание
<Сквозной пакет, с
src = Addr-k, Dest = Addr-X>
--------------------------->
..
.
<Внешний IP-заголовок с
src = Addr-X, Dest = Addr-k>,
встраивание
<Сквозной пакет, с
src = Addr-X, Dest = Addr-k>
<---------------------------------
<Внешний IP-заголовок с
src = Addr-X, Dest = Addr-A>,
встраивание <Сквозной пакет,
с src = Addr-X, Dest = Addr-k>
<--------------------------------------
Srisuresh & Holdrege Information [Страница 16]
RFC 2663 Терминология NAT и соображения Август 1999 г.
Второй метод, использующий туннель в частной сфере:
==================================================
Host-A NAT-маршрутизатор Host-X
------ ----------- ------
<Внешний IP-заголовок с
src = Addr-A, Dest = Addr-Np>,
встраивание
<Сквозной пакет, с
src = Addr-k, Dest = Addr-X>
----------------------------->
<Сквозной пакет, с
src = Addr-k, Dest = Addr-X>
------------------------------->
..
.
<Сквозной пакет, с
src = Addr-X, Dest = Addr-k>
<--------------------------------
<Внешний IP-заголовок с
src = Addr-Np, Dest = Addr-A>,
встраивание <Сквозной пакет,
с src = Addr-X, Dest = Addr-k>
<----------------------------------
Могут быть и другие подходы.Клиент RSA-IP имеет следующие характеристики. Коллектив
набор операций, выполняемых RSA-IP-клиентом, может быть назван «RSA-
IP ".
1. Осведомленность о сфере, к которой принадлежат его одноранговые узлы.
2. Предполагает адрес из внешней области при общении с
хосты в этой сфере. Такой адрес может быть назначен статически.
или получен динамически (через еще не определенный протокол)
от узла, способного назначать адреса из внешней области.
RSA-IP-Server может быть узлом, координирующим внешнюю область
присвоение адреса.Информационное сообщение Srisuresh & Holdrege [Страница 17]
RFC 2663 Терминология NAT и соображения Август 1999 г.
3. Направляйте пакеты на внешние хосты, используя подход, поддающийся
RSA-IP-Сервер. Во всех случаях RSA-IP-Client, скорее всего, потребуется
действовать как конечная точка туннеля, способная инкапсулировать
сквозные пакеты при пересылке и декапсуляции в
Обратный путь.
«IP-сервер с конкретным адресом области» (сервер RSA-IP) является резидентным узлом.
как в частных, так и во внешних сферах, что упрощает маршрутизацию
пакеты внешней области, специфичные для клиентов RSA-IP внутри частной
область.RSA-IP-сервер может быть описан как имеющий следующие
характеристики.
1. Может быть настроен для назначения адресов из внешней области в
RSA-IP-клиенты, статические или динамические.
2. Маршрутизатор должен быть резидентным как на частном, так и на внешнем
адресные области.
3. Должен быть в состоянии предоставить механизм для маршрутизации внешней области
пакеты в частной сфере. Из двух описанных подходов
первый подход требует, чтобы RSA-IP-Server был маршрутизатором NAT.
обеспечение прозрачной маршрутизации для внешнего заголовка.Этот
подход требует, чтобы внешний партнер был конечной точкой туннеля.
При втором подходе RSA-IP-сервером может быть любой маршрутизатор.
(включая маршрутизатор NAT), который может быть конечной точкой туннеля с
RSA-IP-клиенты. Он отключает сквозные исходящие пакеты
от RSA-IP-Clients и пересылать на внешние хосты. На
обратный путь, он обнаружит туннель RSA-IP-Client на основе
адрес назначения сквозного пакета и инкапсулирует
пакет в туннеле для пересылки на RSA-IP-Client.Клиенты RSA-IP могут использовать любой из методов IPsec, а именно:
транспортный или туннельный режим Аутентификация и конфиденциальность с использованием AH
и заголовки ESP во встроенных пакетах. Любой из туннелей
методы могут быть адаптированы для инкапсуляции между RSA-IP-Client и
RSA-IP-Server или между RSA-IP-Client и внешним хостом. Для
Например, инкапсуляция туннельного режима IPsec является допустимым типом
инкапсуляция, обеспечивающая аутентификацию и конфиденциальность IPsec
для встроенных сквозных пакетов.5.2 Адрес конкретной области и IP-адрес порта (RSAP-IP)
Адрес конкретной области и IP-адрес порта (RSAP-IP) - это разновидность RSIP.
в том, что несколько частных хостов используют один внешний адрес,
мультиплексирование идентификаторов транспорта (т. е. номеров портов TCP / UDP и
Идентификаторы запросов ICMP).
Srisuresh & Holdrege Information [Страница 18] RFC 2663 Терминология NAT и соображения Август 1999 г. «RSAP-IP-Client» может быть определен аналогично RSA-IP-Client с вариант, в котором RSAP-IP-Client принимает кортеж (внешний адрес, идентификатор транспорта) при подключении к хостам во внешней области к осуществлять сквозное общение.Таким образом, общение с внешними узлы для RSAP-IP-Client могут быть ограничены TCP, UDP и ICMP сеансы. «RSAP-IP-Server» похож на RSA-IP-Server в том, что он упрощает маршрутизация пакетов внешней области, специфичных для клиентов RSAP-IP внутри частное царство. Как правило, RSAP-IP-сервер также будет для назначения транспортных кортежей клиентам RSAP-IP. Маршрутизатор NAPT на маршруте может служить RSAP-IP-сервером, когда внешний инкапсуляция основана на TCP / UDP и адресована между RSAP-IP- Клиент и внешний партнер.Этот подход требует, чтобы внешний партнер быть конечной точкой туннеля на основе TCP / UDP. Используя этот подход, Клиенты RSAP-IP могут использовать любой из методов IPsec, а именно: аутентификация и конфиденциальность в транспортном или туннельном режиме с использованием AH и заголовки ESP во встроенных пакетах. Однако обратите внимание, что туннель IPsec режим не является допустимым типом инкапсуляции, поскольку маршрутизатор NAPT не может обеспечить прозрачность маршрутизации для протоколов AH и ESP. В качестве альтернативы пакеты могут туннелироваться между RSAP-IP-Client и RSAP-IP-Server, такой, что RSAP-IP-Server отключает пакеты исходящий от клиентов RSAP-IP и пересылка на внешние узлы.На обратный путь, RSAP-IP-Server обнаружит туннель RSAP-IP-Client, на основе кортежа (адрес назначения, транспортный идентификатор) и инкапсулировать исходный пакет в туннель для пересылки в RSAP- IP-клиент. При таком подходе нет ограничений на метод туннелирования, используемый между RSAP-IP-Client и RSAP-IP- Сервер. Однако существуют ограничения на применение IPsec на основе безопасность сквозных пакетов. Аутентификация на основе транспортного режима и целостность может быть достигнута.Но конфиденциальность не может быть разрешено, потому что RSAP-IP-Server должен иметь возможность проверять Идентификатор транспорта назначения для идентификации RSAP-IP- туннель для пересылки входящих пакетов. По этой причине только пакеты TCP, UDP и ICMP в транспортном режиме, защищенные AH и ESP- аутентификация может проходить через RSAP-IP-сервер с использованием этого подхода. В качестве примера, скажем, Host-A на рисунке 2 выше, получает кортеж из (Addr-Nx, TCP-порт T-Nx) от маршрутизатора NAPT, чтобы действовать как RSAP-IP-клиент для инициировать сквозные сеансы TCP с Host-X.Прохождение сквозного конечные пакеты в частной области можно проиллюстрировать следующим образом. В первый метод, внешний уровень исходящего пакета от Host-A использует (частный адрес Addr-A, исходный порт T-Na) как исходный кортеж для общаться с Host-X. Маршрутизатор NAPT переводит этот кортеж в (Addr-Nx, порт T-Nxa). Этот перевод не зависит от RSAP- Параметры кортежа IP-клиента, используемые во встроенном пакете. Srisuresh & Holdrege Information [Страница 19]
RFC 2663 Терминология NAT и соображения Август 1999 г.
Первый метод, использующий маршрутизатор NAPT для перевода:
================================================== ==
Host-A Маршрутизатор NAPT Host-X
------ ----------- ------
<Внешний пакет TCP / UDP, с
src = Addr-A, Src Port = T-Na,
Dest = Addr-X>,
встраивание
<Сквозной пакет, с
src = Addr-Nx, Src Port = T-Nx, Dest = Addr-X>
----------------------------->
<Внешний пакет TCP / UDP, с
src = Addr-Nx, Src Port = T-Nxa,
Dest = Addr-X>,
встраивание
<Сквозной пакет, с
src = Addr-Nx, Src Port = T-Nx, Dest = Addr-X>
--------------------------------------->
..
.
<Внешний пакет TCP / UDP с
src = Addr-X, Dest = Addr-Nx,
Порт назначения = T-Nxa>,
встраивание
<Сквозной пакет, с
src = Addr-X, Dest = Addr-Nx,
Порт назначения = T-Nx>
<----------------------------------
<Внешний пакет TCP / UDP, с
src = Addr-X, Dest = Addr-A,
Порт назначения = T-Na>,
встраивание
<Сквозной пакет, с
src = Addr-X, Dest = Addr-Nx,
Порт назначения = T-Nx>
<-----------------------------------
Srisuresh & Holdrege Information [Страница 20]
RFC 2663 Терминология NAT и соображения Август 1999 г.
Второй метод, использующий туннель в частной сфере:
==================================================
Host-A Маршрутизатор NAPT Host-X
------ ----------- ------
<Внешний IP-заголовок с
src = Addr-A, Dest = Addr-Np>,
встраивание
<Сквозной пакет, с
src = Addr-Nx, Src Port = T-Nx,
Dest = адрес-X>
----------------------------->
<Сквозной пакет, с
src = Addr-Nx, Src Port = T-Nx,
Dest = адрес-X>
-------------------------------->
..
.
<Сквозной пакет, с
src = Addr-X, Dest = Addr-Nx,
Порт назначения = T-Nx>
<----------------------------------
<Внешний IP-заголовок с
src = Addr-Np, Dest = Addr-A>,
встраивание
<Сквозной пакет, с
src = Addr-X, Dest = Addr-Nx,
Порт назначения = T-Nx>
<----------------------------------
6.0. Частные сети и туннели
Рассмотрим случай, когда ваша частная сеть подключена к
внешний мир через туннели. В таком случае туннель инкапсулирован
трафик может содержать или не содержать переведенные пакеты в зависимости от
характеристики адресных областей, по которым туннель является мостом.
В следующих подразделах обсуждаются два сценария, в которых туннели
используется (а) вместе с преобразованием адресов и (б) без
перевод.
Srisuresh & Holdrege Information [Страница 21] RFC 2663 Терминология NAT и соображения Август 1999 г. 6.1. Туннелирование переведенных пакетов Все варианты перевода адресов, рассмотренные в предыдущем раздел может быть применим как к прямым подключенным ссылкам, так и к туннели и виртуальные частные сети (VPN). Например, частная сеть, подключенная к бизнес-партнеру. через VPN можно использовать традиционный NAT для связи с партнер. Точно так же можно использовать дважды NAT, если адресное пространство партнера перекрывается частной сетью. Там может быть устройством NAT на одном конце туннеля или на обоих концах туннель.Во всех случаях трафик через VPN можно зашифровать для в целях безопасности. Безопасность здесь означает безопасность трафика. только через VPN. Для сквозной безопасности требуется доверие к устройствам NAT. в частной сети. 6.2. Магистрально-разделенные частные сети Во многих случаях частная сеть (например, корпоративная сеть) распределена по разным адресам и использует общедоступную магистраль для связи между этими местами. В таких случаях это не желательно сделать трансляцию адресов, потому что большое количество хосты могут захотеть связываться через магистраль, что требует большие таблицы адресов, и потому что приложений будет больше которые зависят от настроенных адресов, а не от имени сервер.Мы называем такую частную сеть частной. сеть. Заглушки с разделением на магистраль должны вести себя так, как если бы они не были секционированная заглушка. То есть роутеры во всех разделах должны поддерживать маршруты к локальным адресным пространствам всех разделов. Из конечно, (общедоступные) магистрали не поддерживают маршруты к каким-либо локальным адреса. Следовательно, пограничные маршрутизаторы должны туннелировать (используя VPN) через магистрали с использованием инкапсуляции. Для этого каждое окно NAT выделит глобальный адрес для туннелирования.Когда блок NAT x в тупиковом разделе X желает доставить пакет в тупиковый раздел Y, он инкапсулирует пакет в заголовок IP с адрес назначения установлен на глобальный адрес NAT-бокса y, который имеет зарезервировано для инкапсуляции. Когда блок NAT y получает пакет с этим адресом назначения он декапсулирует заголовок IP и маршрутизирует пакет внутренне. Обратите внимание, что нет перевода адресов в процессе; просто передача пакетов частной сети через магистраль внешнего сетевого туннеля.Srisuresh & Holdrege Information [Страница 22]
RFC 2663 Терминология NAT и соображения Август 1999 г. 7.0. Рабочие характеристики NAT Устройства NAT не знают приложений, поскольку переводы ограничивается только заголовками IP / TCP / UDP / ICMP и сообщениями об ошибках ICMP. NAT устройства не изменяют полезную нагрузку пакетов, так как полезная нагрузка имеет тенденцию быть конкретным приложением. Устройства NAT (без включения ALG) не проверяют и не изменяют транспортная полезная нагрузка.По этой причине устройства NAT прозрачны для приложения во многих случаях. Однако есть две области, в которых NAT устройства часто вызывают трудности: 1) когда полезная нагрузка приложения включает IP-адрес и 2) когда требуется сквозная безопасность. Обратите внимание: это неполный список. Методы безопасности на уровне приложений, которые не используют или в зависимости от IP-адресов будет корректно работать при наличии NAT (например, TLS, SSL и ssh). Напротив, методы транспортного уровня например, транспортный режим IPSec или опция подписи TCP MD5 RFC 2385 [Ссылка 17] нет.В транспортном режиме IPSec и AH, и ESP имеют проверку целостности. покрывая всю полезную нагрузку. Когда полезная нагрузка - TCP или UDP, Контрольная сумма TCP / UDP покрывается проверкой целостности. Когда устройство NAT изменяет адрес, контрольная сумма больше не действительна по отношению к новый адрес. Обычно NAT также обновляет контрольную сумму, но это неэффективны при использовании AH и ESP. Следовательно, приемники будут отбросить пакет либо потому, что он не прошел проверку целостности IPSec (если устройство NAT обновляет контрольную сумму), или потому что контрольная сумма недействительный (если устройство NAT оставляет контрольную сумму неизменной).Обратите внимание, что ESP в туннельном режиме IPsec допустим, пока на содержимое встроенного пакета не влияет внешний IP-заголовок перевод. Хотя этот метод не работает в традиционном NAT развертывания (то есть, когда хосты не знают о наличии NAT), метод применим к IP, зависящим от области, как описано в Раздел 5.0. Также обратите внимание, что сквозная аутентификация в транспортном режиме на основе ESP и конфиденциальность допустима для таких пакетов, как ICMP, чей IP на содержимое полезной нагрузки не влияет трансляция внешнего IP-заголовка.Устройства NAT также нарушают фундаментальные предположения с помощью открытого ключа инфраструктуры распространения, такие как Secure DNS RFC 2535 [Ref 18] и Сертификаты X.509 с подписанными открытыми ключами. В случае Secure Информационное сообщение Srisuresh & Holdrege [Страница 23]
RFC 2663 Терминология NAT и соображения Август 1999 г. DNS, каждый DNS RRset подписан ключом из зоны. Более того, подлинность конкретного ключа проверяется следующим образом: цепочка доверия, которая идет до корня DNS.Когда DNS- ALG изменяет адреса (например, как в случае Twice-NAT), проверка подписей не проходит. Может быть интересно отметить, что IKE (согласование сеансового ключа протокол) является протоколом сеансового уровня на основе UDP и не защищен с помощью сетевой безопасности IPsec. Только часть личности полезные данные в IKE защищены. В результате сеансы IKE становятся разрешено через NAT, если полезная нагрузка IKE не содержит адреса и / или идентификаторы транспорта, относящиеся к одной области, а не к Другие.Учитывая, что IKE используется для настройки ассоциаций IPSec, и там в настоящее время нет известных способов заставить IPSec работать через NAT функция, это будущий рабочий элемент, чтобы использовать преимущества IKE через Блок NAT. Одно из самых популярных интернет-приложений «FTP» не работает. с определением NAT, как описано. Следующий подраздел посвящен описанию того, как FTP поддерживается на устройствах NAT. FTP ALG является неотъемлемой частью большинства реализаций NAT. Некоторые поставщики могут выберите включение дополнительных ALG для индивидуальной поддержки других приложения на устройстве NAT.7.1. Поддержка FTP Команда «PORT» и ответ «PASV» в полезной нагрузке сеанса управления FTP определить IP-адрес и TCP-порт, которые должны использоваться для данных сеанс, который он поддерживает. Аргументы команды PORT и PASV Ответ - это IP-адрес и TCP-порт в ASCII. FTP ALG - это требуется для мониторинга и обновления полезной нагрузки сеанса управления FTP, поэтому эта информация, содержащаяся в полезной нагрузке, относится к конечным узлам. ALG также должен обновить NAT с помощью соответствующих кортежей сеанса данных и ориентация сеанса, чтобы NAT мог настроить информацию о состоянии для сеансы данных FTP.Поскольку адрес и порт TCP закодированы в ASCII, это может приведет к изменению размера пакета. Например, 10,18,177,42,64,87 - это 18 символов ASCII, тогда как 193,45,228,137,64,87 - это 20 символов ASCII. Если новый размер такой же как и в предыдущем случае, в результате требуется корректировка только контрольной суммы TCP. изменения данных. Если новый размер меньше или больше, чем ранее порядковые номера TCP также должны быть изменены, чтобы отразить изменение длины части управляющих данных FTP.Специальная таблица может быть используется ALG для исправления последовательности TCP и подтверждения номеров. Порядковый номер и исправление подтверждения должны быть выполняется на всех будущих пакетах соединения. Информационное сообщение Srisuresh & Holdrege [Страница 24]
RFC 2663 Терминология NAT и соображения Август 1999 г. 8.0. Ограничения NAT 8.1. Приложения с содержанием IP-адреса Не все приложения легко поддаются переводу адресов Устройства NAT.В частности, приложения, несущие IP-адрес (и Порт TU, в случае NAPT) внутри полезной нагрузки. Уровень приложения Шлюзы или ALG должны использоваться для выполнения трансляций пакетов. относящиеся к таким приложениям. ALG могут дополнительно использовать адрес (и порт TU), выполняемые NAT и выполняющие переводы специфические для приложения. Сочетание функций NAT и ALG не обеспечивают сквозную безопасность, гарантированную IPsec. Тем не мение, IPsec в туннельном режиме может быть реализован с помощью маршрутизатора NAT, выступающего в качестве конечная точка туннеля.SNMP - одно из таких приложений с адресным содержимым в полезной нагрузке. NAT маршрутизаторы не будут преобразовывать IP-адреса в полезных данных SNMP. это нередки случаи, когда ALG, специфичный для SNMP, находится на маршрутизаторе NAT, чтобы выполнять трансляцию SNMP MIB в частной сети. 8.2. Приложения с взаимозависимым управлением и сеансами передачи данных Устройства NAT работают в предположении, что каждый сеанс независимый. Характеристики сеанса, такие как ориентация сеанса, IP-адреса источника и назначения, протокол сеанса, а также источник и идентификаторы транспортного уровня назначения определяются независимо в начале каждого нового сеанса.Однако есть приложения, такие как H.323, которые используют один или несколько контрольные сеансы для настройки характеристик последующих сеансов в их полезной нагрузке сеанса управления. Такие приложения требуют использования специфические для приложения ALG, которые могут интерпретировать и переводить полезная нагрузка, если необходимо. Интерпретация полезной нагрузки поможет NAT подготовлены для последующих сессий данных. 8.3. Рекомендации по отладке NAT увеличивает вероятность неправильной адресации. Например, такой же локальный адрес может быть привязан к другому глобальному адресу в разных раз и наоборот.В результате любое исследование транспортного потока на основе чисто по глобальным адресам и портам TU может быть запутано и может неверно истолковать результаты. Если хост каким-то образом злоупотребляет Интернетом (например, пытается атаковать другую машину или даже отправлять большое количество нежелательной почты или что-то) труднее определить источник проблемы потому что IP-адрес хоста скрыт в маршрутизаторе NAT. Srisuresh & Holdrege Information [Страница 25]
RFC 2663 Терминология NAT и соображения Август 1999 г. 8.4. Трансляция фрагментированных пакетов управления FTP. Трансляция фрагментированных управляющих пакетов FTP затруднена, когда пакеты содержат команду «PORT» или ответ на команду «PASV». Ясно, что это патологический случай. Маршрутизатору NAT потребуется сначала собрать фрагменты вместе, а затем перевести перед тем, как пересылка. Еще один случай, когда каждый символ пакетов, содержащих Команда «PORT» или ответ на «PASV» отправляется в отдельной дейтаграмме, нефрагментированный. В этом случае NAT просто должен позволить пакетам через, без преобразования полезной нагрузки TCP.Конечно, приложение потерпит неудачу, если необходимо изменить полезную нагрузку. В приложение все еще могло работать в некоторых случаях, когда полезная нагрузка содержимое может быть действительным в обеих сферах без изменений в пути. Например, FTP, исходящий с частного хоста, все равно будет работать. при прохождении традиционного NAT или двунаправленного устройства NAT, поэтому пока сеанс управления FTP использовал команду PASV для установки сеансы данных. Причина в том, что адрес и номер порта указывается FTP-сервером в ответе PASV (отправляется как несколько нефрагментированные пакеты) действительны для частного хоста, как есть.NAT устройство будет просто просматривать последующий сеанс данных (также исходящий от частного хоста) как независимый сеанс TCP. 8.5. Интенсивные вычисления NAT требует больших вычислений даже с помощью продуманной контрольной суммы алгоритм настройки, поскольку каждый пакет данных подлежит поиску NAT и модификации. В результате пропускная способность переадресации маршрутизатора может значительно замедлиться. Однако до тех пор, пока обрабатывающая способность устройства NAT превышает скорость обработки линии, это не должно быть проблема.9.0. Соображения безопасности Многие люди рассматривают традиционный маршрутизатор NAT как односторонний (сеансовый). фильтр трафика, ограничивающий сеансы с внешних хостов на их машины. Кроме того, при назначении адреса в маршрутизаторе NAT динамически, что затрудняет злоумышленнику указать на любой конкретный хост в домене NAT. Маршрутизаторы NAT могут использоваться в в сочетании с межсетевыми экранами для фильтрации нежелательного трафика. Если устройства NAT и ALG не находятся в доверенной границе, это серьезная проблема безопасности, поскольку ALG могут отслеживать полезную нагрузку трафика конечного пользователя.Полезная нагрузка на уровне сеанса может быть зашифрована от начала до конца, пока полезная нагрузка не содержит IP-адресов и / или транспортных идентификаторов которые действительны только в одной из сфер. За исключением RSIP, сквозная IP-безопасность на уровне сети, обеспечиваемая текущим IPsec Информационное сообщение Srisuresh & Holdrege [Страница 26]
RFC 2663 Терминология NAT и соображения Август 1999 г.
методы не достижимы с устройствами NAT между ними.Один из
концы должны быть блоком NAT. Обратитесь к разделу 7.0 для обсуждения того, почему
сквозная безопасность IPsec не может быть обеспечена с помощью устройств NAT вместе
маршрут.
Комбинация функций NAT, ALG и межсетевых экранов обеспечит
прозрачная рабочая среда для частного сетевого домена.
За исключением RSIP, сквозная сетевая безопасность обеспечивается
IPsec не может быть достигнут для конечных хостов в частной сети
(См. Раздел 5.0 для работы RSIP). Во всех остальных случаях, если вы
хотите использовать сквозной IPsec, в
дорожка.Если мы сделаем предположение, что устройства NAT являются частью
доверенная граница, туннельный режим IPsec может быть выполнен с NAT
маршрутизатор (или комбинация NAT, ALG и межсетевого экрана), служащий туннелем
конечная точка.
Устройства NAT в сочетании с ALG могут гарантировать, что дейтаграммы
введенные в Интернет, не имеют частных адресов в заголовках или
полезная нагрузка. Приложения, не соответствующие этим требованиям, могут быть
сбросил с помощью фильтров брандмауэра. По этой причине не редкость
найти сосуществование функций NAT, ALG и брандмауэра для обеспечения безопасности
на границах частной сети.Шлюзы NAT могут использоваться как
конечные точки туннеля для обеспечения безопасной передачи пакетных данных через VPN
во внешнем сетевом домене.
Ниже приведены некоторые дополнительные соображения безопасности, связанные с NAT.
роутеры.
1. Сеансы UDP по своей сути небезопасны. Ответы на дейтаграмму
может прийти с адреса, отличного от целевого.
используется отправителем ([Ссылка 4]). В результате входящий UDP-пакет
может соответствовать исходящему сеансу традиционного NAT-маршрутизатора
только частично (адрес назначения и номер порта UDP
пакет совпадает, но адрес источника и номер порта могут
нет).В таком случае существует потенциальная угроза безопасности.
для устройства NAT в разрешении входящих пакетов с частичным
соответствие. Эта проблема безопасности UDP также присуща межсетевым экранам.
Традиционные реализации NAT, которые не отслеживают датаграммы на
на основе сеанса, но объединенные состояния нескольких сеансов UDP
использование одной и той же привязки адреса в единую унифицированную сессию
может поставить под угрозу безопасность еще больше. Это потому что,
гранулярность сопоставления пакетов будет дополнительно ограничена
просто адрес назначения входящих UDP-пакетов.2. Многоадресные сеансы (на основе UDP) - еще один источник безопасности.
слабость для маршрутизаторов с традиционным NAT. И снова межсетевые экраны сталкиваются
та же дилемма безопасности, что и маршрутизаторы NAT.
Srisuresh & Holdrege Information [Страница 27]
RFC 2663 Терминология NAT и соображения Август 1999 г.
Скажем, хост в частной сети инициировал сеанс многоадресной рассылки.
Дейтаграмма, отправленная частным хостом, может инициировать ответы в
обратное направление от нескольких внешних хостов.Традиционный NAT
реализации, которые используют одно состояние для отслеживания многоадресной рассылки
сеанс не может точно определить, входит ли входящий пакет UDP
является ответом на существующий сеанс многоадресной рассылки или начало
новый сеанс UDP, инициированный злоумышленником.
3. Устройства NAT могут быть целью атак.
Поскольку устройства NAT являются хостами в Интернете, они могут быть целью
количество различных атак, таких как SYN-флуд и ping-флуд
атаки. Устройства NAT должны использовать такую же защиту.
методы, как это делают серверы в Интернете.ИСПОЛЬЗОВАННАЯ ЛИТЕРАТУРА
[1] Рехтер, Ю., Московиц, Б., Карренберг, Д., де Гроот, Г. и Э.
Лир, «Распределение адресов для частных сетей», BCP 5, RFC
1918 г., февраль 1996 г.
[2] Рейнольдс, Дж. И Дж. Постел, «Присвоенные номера», STD 2, RFC 1700,
Октябрь 1994 г.
[3] Брейден, Р., «Требования к Интернет-хостам - связь.
Layers », STD 3, RFC 1122, октябрь 1989 г.
[4] Брейден Р. "Требования к Интернет-хостам - приложения и
Поддержка », STD 3, RFC 1123, октябрь 1989 г.[5] Бейкер, Ф., «Требования к маршрутизаторам IP версии 4», RFC 1812,
Июнь 1995 г.
[6] Постел, Дж. И Дж. Рейнольдс, «Протокол передачи файлов (FTP)», STD.
9, RFC 959, октябрь 1985 г.
[7] Постел, Дж., "Спецификация протокола управления передачей (TCP)",
STD 7, RFC 793, сентябрь 1981 г.
[8] Постел, Дж., "Спецификация протокола управляющих сообщений Интернета"
STD 5, RFC 792, сентябрь 1981 г.
[9] Постел, Дж., «Протокол дейтаграмм пользователя (UDP)», STD 6, RFC 768,
Август 1980 г.[10] Могул, Дж. И Дж. Постел, "Стандартные подсети Интернета"
Процедура », STD 5, RFC 950, август 1985 г.
Информационное сообщение Srisuresh & Holdrege [Страница 28]
RFC 2663 Терминология NAT и соображения Август 1999 г.
[11] Карпентер, Б., Кроукрофт, Дж. И Ю. Рехтер, "Адрес IPv4
Поведение сегодня », RFC 2101, февраль 1997 г.
[12] Кент, С. и Р. Аткинсон, "Архитектура безопасности для
Интернет-протокол », RFC 2401, ноябрь 1998 г.[13] Кент, С. и Р. Аткинсон, "Инкапсуляция полезной нагрузки IP-защиты
(ESP) ", RFC 2406, ноябрь 1998 г.
[14] Кент, С. и Р. Аткинсон, «Заголовок аутентификации IP», RFC 2402,
Ноябрь 1998 г.
[15] Харкинс, Д. и Д. Каррел, «Обмен ключами в Интернете (IKE)»,
RFC 2409, ноябрь 1998 г.
[16] Пайпер, Д., "Область интерпретации IP-безопасности Интернета
для ISAKMP ", RFC 2407, ноябрь 1998 г.
[17] Хеффернан, А., «Защита сеансов BGP через TCP MD5.
Вариант подписи », RFC 2385, август 1998 г.[18] Истлейк Д., «Расширения безопасности системы доменных имен», RFC.
2535, март 1999 г.
Адреса авторов
Пида Срисуреш
Lucent Technologies
4464 Willow Road
Плезантон, Калифорния, 94588-8519
СОЕДИНЕННЫЕ ШТАТЫ АМЕРИКИ.
Телефон: (925) 737-2153
Факс: (925) 737-2110
Электронная почта: [email protected]
Мэтт Холдрег
Lucent Technologies
1701 Harbour Bay Parkway
Аламеда, Калифорния 94502
Телефон: (510) 769-6001
Электронная почта: [email protected]
Srisuresh & Holdrege Information [Страница 29] RFC 2663 Терминология NAT и соображения Август 1999 г. Полное заявление об авторских правах Авторское право (C) The Internet Society (1999).Все права защищены. Этот документ и его переводы могут быть скопированы и предоставлены другие и производные работы, которые комментируют или иным образом объясняют это или помочь в его реализации могут быть подготовлены, скопированы, опубликованы и распространяется, полностью или частично, без ограничения каких-либо любезно, при условии, что указанное выше уведомление об авторских правах и этот абзац являются включены во все такие копии и производные работы. Однако это сам документ не может быть изменен каким-либо образом, например, путем удаления уведомление об авторских правах или ссылки на Internet Society или другие Интернет-организации, за исключением случаев, когда это необходимо для разработка интернет-стандартов, в этом случае процедуры для авторские права, определенные в процессе разработки стандартов Интернета, должны быть следовать, или, если требуется, перевести его на другие языки, кроме Английский.Ограниченные разрешения, предоставленные выше, являются бессрочными и не будут аннулировано Интернет-сообществом, его правопреемниками или правопреемниками. Этот документ и содержащаяся в нем информация размещены на Основа "КАК ЕСТЬ" и ИНТЕРНЕТ-ОБЩЕСТВО И ИНТЕРНЕТ-ИНЖИНИРИНГ TASK FORCE ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ НО НЕ ОГРАНИЧИВАЕТСЯ НИКАКОЙ ГАРАНТИЕЙ, ЧТО ИСПОЛЬЗОВАНИЕ ИНФОРМАЦИИ ЗДЕСЬ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ КОММЕРЧЕСКАЯ ЦЕННОСТЬ ИЛИ ПРИГОДНОСТЬ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ.Подтверждение Финансирование функции редактора RFC в настоящее время обеспечивается Интернет-общество. Информационное сообщение Srisuresh & Holdrege [Страница 30]
Трансляция сетевых адресов - обзор
Протокол транслятора сетевых IP-адресов (NAT) - это протокол маршрутизатора, который позволяет узлам частной сети прозрачно взаимодействовать с узлами внешней сети и наоборот. Узлам в частной сети не был назначен глобальный уникальный IP-адрес; поэтому в противном случае связь с внешней сетью была бы невозможна.Эта прозрачная связь достигается путем изменения заголовков IP-адресов и протоколов для пакетов, поступающих в частную сеть и из нее. NAT решает три общие проблемы растущих сетей: нехватку глобально уникальных IP-адресов, защиту частной сети, подобную межсетевому экрану, и гибкость сетевого администрирования.
8.6.1 Разъяснение NAT
Существует множество разновидностей NAT. Базовый NAT сопоставляет IP-адрес частной сети с глобально уникальным IP-адресом.Базовый NAT выполняет преобразование только для IP-адреса и требует, чтобы маршрутизатор NAT имел пул глобально уникальных IP-адресов, которые можно сопоставить. Базовый NAT также ограничивает количество узлов в частной сети, которые могут взаимодействовать с внешней сетью, до количества глобально уникальных IP-адресов, которые доступны. Это означает, что для одновременной связи пяти узлов частной сети с внешней сетью необходимо наличие пяти глобально уникальных IP-адресов, доступных для трансляции.Пока эти пять адресов используются, никакие другие узлы частной сети не могут связываться с внешней сетью.
NAPT (преобразователь сетевых адресов и портов) решает некоторые проблемы с базовым NAT и намного лучше решает проблему нехватки глобально уникальных IP-адресов, позволяя всем узлам частной сети связываться с внешней сетью путем совместное использование единого глобально уникального внешнего IP-адреса. Это выгодно для домов и предприятий с ограниченным количеством уникальных IP-адресов в глобальном масштабе, поскольку все пользователи могут получить доступ к внешней сети одновременно.NAPT выполняет это, заменяя в заголовках протокола IP-адрес и номер порта TCP / UDP частного узла глобально уникальным внешним IP-адресом и номером порта TCP / UDP. Другими словами, NAPT выполняет преобразование номеров портов UDP / TCP, а также IP-адреса. При использовании NAPT теоретический предел составляет до 64 000 одновременных сеансов (комбинации адресов / портов) одновременно. NAPT также известен как IP, маскирующий .
Двунаправленный NAT позволяет инициировать соединения с хостов во внешней сети, а также в частной сети.Определенные порты на маршрутизаторе NAT сопоставляются службам на частном узле или сервере через службу карты портов (см. Раздел «Служба карты портов» далее в этой статье). Маршрутизатор NAT ретранслирует все совпадающие запросы из внешней сети на конкретный частный сервер. Это позволяет серверам в частной сети быть доступными для узлов внешней сети. Например, FTP-клиент во внешней сети может установить соединение с FTP-сервером в частной сети. Без поддержки двунаправленного NAT все соединения должны инициироваться с узлов частной сети.
Поскольку все соединения должны инициироваться из частной сети или регистрироваться в службе portmap, NAT обеспечивает защиту частной сети, подобную межсетевому экрану. Злоумышленник должен сначала получить доступ к маршрутизатору NAT, чтобы проникнуть в частную сеть. Кроме того, размер и топология частной сети скрыты за NAT-маршрутизатором. Обратите внимание, что NAT не обязательно исключает необходимость в реальном брандмауэре.
Нет необходимости вносить изменения в маршрутизатор NAT при добавлении нового узла или удалении или перенастройке существующих узлов.Это обеспечивает гибкость сетевого администрирования.
Теория работы NAT проиллюстрирована на рисунке 8.6.
Рисунок 8.6. Принцип работы NAT
Частная сеть 192.168.16.x скрыта от внешней сети за маршрутизатором NAT. Маршрутизатор NAT имеет один внешний интерфейс (201.100.67.1), используемый для связи с внешней сетью и защиты анонимности частных узлов. Маршрутизатор NAT имеет один частный интерфейс (192.168.16.1), используемый для связи с частной сетью.
Когда частный узел отправляет пакет во внешнюю сеть, маршрутизатор NAT перехватывает пакет и заменяет все экземпляры частного IP-адреса источника (192.168.16.xxx) и порта источника TCP / UDP на внешний IP-адрес (201.100 .67.1) и назначенный внешний порт источника TCP / UDP. NAT назначает номер порта. Чтобы частные узлы могли инициировать связь с внешними узлами, вмешательство пользователя или настройка не требуется. Однако, если серверу в частной сети необходимо обслуживать клиентов, находящихся во внешней сети, то порт сервера должен быть зарегистрирован в NAT через службу portmap.
Когда внешний узел отвечает частному узлу или инициирует приемлемое соединение с частным узлом, маршрутизатор NAT перехватывает пакет и заменяет все экземпляры внешнего IP-адреса назначения (201.100.67.1) и назначенного внешнего порта назначения TCP / UDP с частным IP-адресом (192.168.16.xxx) и TCP / UDP-портом назначения.
Служба Portmap
Как упоминалось ранее, NAT может быть двунаправленным. Это означает, что серверы могут поддерживаться в частной сети.NAT достигает этого с помощью службы portmap, которая используется для регистрации служб (серверов) в частной сети как доступных для внешней сети.
Несколько узлов частной сети могут быть зарегистрированы на одном порте с использованием одного и того же протокола. Например, несколько узлов могут быть зарегистрированы как FTP-серверы. Когда запросы на подключение поступают через NAT-маршрутизатор из внешней сети, NAT будет пересылать эти запросы циклически на соответствующие серверы в частной сети.Это сделано для равномерного распределения работы по нескольким серверам.
Обратите внимание, что, поскольку внешняя сеть рассматривает маршрутизатор NAT как единственный конечный пункт назначения, нет способа указать, какому из нескольких частных серверов мог быть предназначен пакет. Например, если определенный файл хранится на одном из трех частных серверов, а внешний пользовательский FTP использует FTP для извлечения этого файла, не гарантируется, что запрос будет отправлен на правильный сервер. Если несколько серверов одного типа должны эффективно использоваться в частной сети, они должны быть зеркалированы.
8.6.3 Поддержка протокола
NAT может поддерживать широкий спектр сетевых протоколов. Обратите внимание, что поддерживает в этом случае означает, что NAT может пересылать данные, отправленные этими протоколами, из частной сети во внешнюю сеть. Любой сетевой протокол может выполняться на самом маршрутизаторе NAT. Например, если клиент TFTP не указан как поддерживаемый конкретной реализацией NAT, это означает, что NAT не поддерживает клиент TFTP в частной сети, обменивающийся данными с сервером TFTP во внешней сети.Однако клиент TFTP может работать на маршрутизаторе NAT. Этот клиент TFTP может взаимодействовать с серверами TFTP как в частной, так и во внешней сети. Примеры протоколов, которые, вероятно, будут поддерживаться, включают IP, TCP, UDP, DNS, ICMP, клиент-сервер HTTP, клиент-сервер Telnet, клиент-сервер TFTP и клиент-сервер FTP.
Использование трансляции VPN между сайтами - Cisco Meraki
Конфигурация
Для настройки трансляции подсети VPN:
- Перейдите к Безопасность и SD-WAN> Настроить> Site-to-site VPN .
- Установить трансляцию подсети VPN с на Включено . Это приведет к появлению нового столбца VPN subnet для локальных сетей.
- Для локальной подсети, которую необходимо преобразовать, установите для участия в VPN значение . VPN включен с преобразованием .
- В столбце VPN-подсеть введите подсеть того же размера, что и локальная подсеть .
- Выбрать Сохранить изменения .
Эксплуатация
Рассмотрим следующий пример:
- Номер 192.Подсеть 168.128.0 / 24 существует в двух местах
- Устройствам и пользователям в этой подсети в обоих местах требуется доступ к ресурсам через VPN-соединение типа "сеть-сеть"
- Чтобы избежать конфликтов адресов и маршрутизации в VPN типа "сеть-сеть", 192.168.128.0/24 был настроен для преобразования в 10.15.30.0/24
- Хост в корпоративной VLAN с IP-адресом 192.168.128.44 обменивается данными с веб-сервером через VPN типа "сеть-сеть" с адресом 172.16.30.8
- Веб-сервер также подключен локально к другому устройству безопасности MX. Этот MX является частью межсайтовой VPN.
Когда настроена трансляция подсети VPN, MX будет проверять исходный IP-адрес по таблице трансляции адресов. Когда 192.168.128.44 пытается отправить трафик на веб-сервер через VPN, исходный IP-адрес оценивается как содержащийся в локальной подсети 192.168.128.0/24, что требует выполнения преобразования.MX затем сопоставит IP-адрес клиента с эквивалентным IP-адресом в переведенной подсети. Когда трафик примера клиента выходит за пределы VPN типа "сеть-сеть", он будет иметь IP-адрес 10.15.30.44.
Если настроена трансляция подсети VPN, переведенная подсеть будет автоматически объявляться всем удаленным участникам VPN типа "сеть-сеть". В этом примере, чтобы веб-сервер на 172.16.30.8 мог взаимодействовать с примером клиента, трафик должен быть отправлен на 10.15.30.44 (эквивалентное смещение IP-адреса в преобразованной подсети).Когда трафик веб-сервера отправляется на 10.15.30.44 и принимается его локальным MX, он будет перенаправлен на соответствующий удаленный MX, а IP-адрес назначения будет преобразован обратно в 192.168.128.44, прежде чем он покинет локальную сеть MX.
При настройке преобразования подсети VPN для локальной подсети, которая существует в нескольких местах, дублированная подсеть подсети должна быть преобразована в каждой сети, которая настроена для разрешения доступа VPN.
Как работает преобразование сетевых адресов
Посмотрите ниже, как компьютеры в тупиковом домене могут отображаться во внешних сетях.
Исходный компьютер A
IP-адрес: 192.168.32.10
Порт компьютера: 400
IP-адрес NAT-маршрутизатора: 215.37.32.203
NAT-маршрутизатор Назначенный номер порта: 1
Исходный компьютер B
IP-адрес: 192.168. 32.13
Порт компьютера: 50
IP-адрес NAT-маршрутизатора: 215.37.32.203
NAT-маршрутизатор Номер назначенного порта: 2
Исходный компьютер C
IP-адрес: 192.168.32.15
Порт компьютера: 3750
NAT-маршрутизатор IP Адрес: 215.37.32.203
Номер порта, назначенного маршрутизатору NAT: 3
Исходный компьютер D
IP-адрес: 192.168.32.18
Порт компьютера: 206
IP-адрес маршрутизатора NAT: 215.37.32.203
Номер порта, назначенный маршрутизатору NAT: 4
Как видите, NAT-маршрутизатор хранит IP-адрес и номер порта каждого компьютера. Затем он заменяет IP-адрес своим собственным зарегистрированным IP-адресом и номером порта, соответствующим положению в таблице записи для компьютера-источника этого пакета.Таким образом, любая внешняя сеть видит IP-адрес NAT-маршрутизатора и номер порта, назначенный маршрутизатором, как информацию о компьютере-источнике для каждого пакета.
У вас все еще может быть несколько компьютеров в тупиковом домене, которые используют выделенные IP-адреса. Вы можете создать список доступа IP-адресов, который сообщает маршрутизатору, какие компьютеры в сети требуют NAT. Все остальные IP-адреса будут проходить через непереведенные.
Количество одновременных трансляций, которые поддерживает маршрутизатор, в основном определяется объемом DRAM (динамическая оперативная память), который он имеет.Но поскольку типичная запись в таблице преобразования адресов занимает всего около 160 байт, маршрутизатор с 4 МБ DRAM теоретически может обрабатывать 26 214 одновременных преобразований, что более чем достаточно для большинства приложений.
IANA выделила определенные диапазоны IP-адресов для использования в качестве немаршрутизируемых внутренних сетевых адресов. Эти адреса считаются незарегистрированными (для получения дополнительной информации см. RFC 1918: Распределение адресов для частных Интернет-сетей, который определяет эти диапазоны адресов).Ни одна компания или агентство не может претендовать на владение незарегистрированными адресами или использовать их на общедоступных компьютерах. Маршрутизаторы предназначены для отбрасывания (вместо пересылки) незарегистрированных адресов. Это означает, что пакет от компьютера с незарегистрированным адресом может достигнуть зарегистрированного целевого компьютера, но ответ будет отклонен первым маршрутизатором, на который он пришел.
Существует диапазон для каждого из трех классов IP-адресов, используемых для сети:
- Диапазон 1: Класс A - 10.От 0,0.0 до 10.255.255.255
- Диапазон 2: класс B - от 172.16.0.0 до 172.31.255.255
- Диапазон 3: класс C - от 192.
Добавить комментарий