NAT klasy operatorskiej
NAT klasy operatorskiej ( CGN lub CGNAT ), znany również jako NAT na dużą skalę ( LSN ), to rodzaj translacji adresów sieciowych (NAT) do użytku w projektowaniu sieci IPv4 . Dzięki CGNAT lokalizacje końcowe, w szczególności sieci domowe, są konfigurowane z prywatnymi adresami sieciowymi, które są tłumaczone na publiczne adresy IPv4 przez pośredniczące urządzenia translujące adresy sieciowe wbudowane w sieć operatora sieci, co pozwala na współdzielenie małych pul adresów publicznych między wieloma lokalizacjami końcowymi . Powoduje to przeniesienie funkcji NAT i jej konfiguracji z siedziby klienta do sieci dostawcy usług internetowych (chociaż „konwencjonalny” NAT w siedzibie klienta będzie często używany dodatkowo).
NAT klasy operatorskiej jest często używany do ograniczania wyczerpania adresów IPv4 .
Jeden scenariusz użycia CGN został oznaczony jako NAT444 , ponieważ niektóre połączenia klientów z usługami internetowymi w publicznym Internecie przechodziłyby przez trzy różne domeny adresowania IPv4: własną sieć prywatną klienta, sieć prywatną operatora i publiczny Internet.
Innym scenariuszem CGN jest Dual-Stack Lite , w którym sieć operatora korzysta z protokołu IPv6 , a zatem potrzebne są tylko dwie domeny adresujące IPv4.
Techniki CGNAT zostały po raz pierwszy użyte w 2000 r., aby zaspokoić natychmiastowe zapotrzebowanie na dużą liczbę adresów IPv4 we wdrożeniach sieci komórkowych General Packet Radio Service (GPRS). Szacunkowa liczba wdrożeń CGNAT wzrosła z 1200 w 2014 r. do 3400 w 2016 r., przy czym 28,85% badanych wdrożeń miało miejsce w sieciach operatorów telefonii komórkowej.
Jeśli dostawca usług internetowych wdroży CGN i użyje przestrzeni adresowej RFC 1918 do numerowania bram klientów, ryzyko kolizji adresów, a tym samym błędów routingu, powstaje, gdy sieć klienta korzysta już z przestrzeni adresowej RFC 1918 .
To skłoniło niektórych dostawców usług internetowych do opracowania polityki w ramach Amerykańskiego Rejestru Numerów Internetowych (ARIN) w celu przydzielenia nowej prywatnej przestrzeni adresowej dla CGN, ale ARIN zwrócił się do IETF przed wdrożeniem polityki, wskazując, że sprawa nie była typowym problemem alokacji, ale rezerwacją adresów do celów technicznych (zgodnie z RFC 2860).
IETF opublikował dokument RFC 6598 , wyszczególniający współdzieloną przestrzeń adresową do użytku we wdrożeniach ISP CGN, która może obsługiwać te same prefiksy sieci występujące zarówno w interfejsach przychodzących, jak i wychodzących. ARIN zwrócił przestrzeń adresową do Internet Assigned Numbers Authority (IANA) dla tej alokacji. Przydzielony blok adresów to 100.64.0.0/10, czyli adresy IP od 100.64.0.0 do 100.127.255.255.
Urządzenia oceniające, czy adres IPv4 jest publiczny, muszą zostać zaktualizowane, aby rozpoznawały nową przestrzeń adresową. Przydzielenie większej ilości prywatnej przestrzeni adresowej IPv4 dla urządzeń NAT może wydłużyć przejście na IPv6.
Niedogodności
Krytycy NAT klasy operatorskiej argumentują następujące aspekty:
- Jak każda forma NAT, łamie zasadę end-to-end .
- Ma poważne problemy z bezpieczeństwem, skalowalnością i niezawodnością , ponieważ jest stanowa .
- Nie rozwiązuje problemu wyczerpania adresu IPv4 , gdy potrzebny jest publiczny adres IP, na przykład w przypadku hostingu WWW.
NAT klasy operatorskiej zwykle uniemożliwia klientom usług internetowych korzystanie z przekierowania portów , ponieważ translacja adresów sieciowych (NAT) jest zwykle realizowana przez mapowanie portów urządzeń NAT w sieci na inne porty w interfejsie zewnętrznym. Ma to na celu umożliwienie routerowi mapowania odpowiedzi na właściwe urządzenie; w sieciach NAT klasy operatorskiej, nawet jeśli router po stronie konsumenta może być skonfigurowany do przekierowywania portów, „główny router” dostawcy usług internetowych, który obsługuje CGN, zablokuje to przekazywanie portów, ponieważ rzeczywisty port nie byłby portem skonfigurowane przez konsumenta. Aby przezwyciężyć poprzednią wadę, protokół kontroli portów (PCP) został znormalizowany w RFC 6887.
W przypadku blokowania ruchu na podstawie adresów IP, system może blokować ruch spamującego użytkownika, blokując adres IP użytkownika. Jeśli ten użytkownik znajduje się za NAT klasy operatorskiej, inni użytkownicy dzielący ten sam adres publiczny ze spamerem zostaną omyłkowo zablokowani. Może to spowodować poważne problemy dla administratorów forów i wiki, którzy próbują zaradzić destrukcyjnym działaniom pojedynczego użytkownika współdzielącego adres IP z legalnymi użytkownikami.