複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/電信級NAT/22404162
複製
複製成功

電信級NAT

鎖定
電信級NAT運營商級NATCarrier-grade NAT,縮寫CGN),也稱大規模NATlarge-scale NAT,縮寫LSN)是一種為IPv4網絡端點(尤其是住宅網絡)設計的方法,通過嵌入在網絡運營商網絡中的中間盒網絡地址轉換(NAT)設備,將已配置的專用網絡地址翻譯到公網IPv4地址,允許許多終端站點共享一個小型公共地址池。這將NAT功能及配置從客户端駐地轉移到互聯網服務提供商網絡。
中文名
電信級NAT
外文名
Carrier-grade NAT
縮    寫
CGN
也    稱
大規模NAT
目    的
一種IPv4位址枯竭的緩解方法
學    科
互聯網術語

目錄

  1. 1 簡介
  2. 2 共享地址空間
  3. 3 問題
  4. 4 缺點

電信級NAT簡介

電信級NAT已被提議作為一種IPv4位址枯竭的緩解方法。
電信級NAT的批評者批評以下幾個方面:
  • 與任何形式的NAT一樣,它損害端到端原則。
  • 它有顯著的安全性、可擴展性可靠性問題,因為其有狀態屬性。
  • 它使保留記錄供執法行動更加困難,除非也記錄地址的翻譯。
  • 它使託管服務變成不可能。
  • 當需要公網IP地址時(例如託管Web主機),它不解決IPv4地址耗盡問題。
CGN的一種使用場景可以描述為NAT444,因為一些客户與公共服務器的連接將通過三個不同的IPv4尋址域:客户自己的私有網絡,運營商的私有網絡,以及公共互聯網。
另一種CGN場景是雙棧精簡版(Dual-Stack Lite,也稱DS-Lite),其中運營商的網絡使用IPv6,因此只需要兩個IPv4尋址域。 [1] 

電信級NAT共享地址空間

如果一個ISP部署CGN並使用RFC 1918地址空間給他們的用户,那麼已經使用RFC 1918空間的客户設備存在停止工作的風險。原因是如果網絡接口的內部與外部地址相同,路由和NAT將不工作。
這促使一些ISP在ARIN內製定策略,為CGN分配新的私有地址空間,但ARIN推遲它,直至IETF實現策略表明這個問題不是典型的分配但是為技術目的保留(根據RFC 2860)。
IETF創建了RFC 6598,詳述了為ISP CGN部署使用的共享地址空間,以及NAT設備可以處理在入站和出站接口上出現的相同地址。ARIN根據此分配的需要將空間返還給IANA。分配的地址塊為100.64.0.0/10。 [1] 

電信級NAT問題

  • 試圖找出IPv4地址是否為公網的設備或軟件必須更新以識別新的空間。
  • 為NAT設備分配更多私有IPv4地址空間可能會延長到IPv6的過渡。 [1] 

電信級NAT缺點

電信級NAT通常會阻止ISP客户使用端口映射,因為網絡地址轉換(NAT)通常通過將網絡中NAT設備的端口映射到外部接口的其他端口來實現,這樣路由器才能映射響應到正確的設備。在電信級NAT網絡中,即使消費者端的路由器可能已配置為端口轉發,ISP處運行CGN的“主路由器”仍將阻止端口轉發,因此實際的端口將不是消費者配置的端口。為了克服前者的缺點,端口控制協議(PCP)已在RFC 6887中標準化。
此外,在極少數情況下,可能遇到基於IP地址的封禁問題。以維基百科為例,系統可能封禁發送垃圾信息的用户的IP。如果該用户在一個電信級NAT後面,其他與垃圾發送者共享使用同一公網IP地址的正常用户也將被錯誤阻止。 [2] 
參考資料
  • 1.    M. Wählisch, F. Holler, T.C. Schmidt, J.H. Schiller: "RTRlib: An Open-Source Library in C for RPKI-based Prefix Origin Validation, Proc. of USENIX Security Workshop CSET'13, Berkeley, CA, USA:USENIX Assoc., 2013.
  • 2.    M. Wählisch, O. Maennel, T.C. Schmidt: "Towards Detecting BGP Route Hijacking using the RPKI", Proc. of ACM SIGCOMM, pp. 103–104, New York:ACM, August 2012.