电信级NAT

电信级NAT运营商级NATCarrier-grade NAT,缩写CGN),也称大规模NATlarge-scale NAT,缩写LSN)是一种为IPv4网络端点(尤其是住宅网络)设计的方法,通过嵌入在网络运营商网络中的中间盒网络地址转换(NAT)设备,将已配置的专用网络地址翻译到公网IPv4地址,允许许多终端站点共享一个小型公共地址池。这将NAT功能及配置从客户端驻地转移到互联网服务提供商网络。

电信级NAT。

电信级NAT已被提议作为一种IPv4位址枯竭的缓解方法。[1]

电信级NAT的批评者批评以下几个方面:

  • 与任何形式的NAT一样,它损害端到端原则[2]
  • 它有显著的安全性、可扩展性可靠性问题,因为其有状态属性。
  • 它使保留记录供执法行动更加困难,除非也记录地址的翻译。
  • 它使托管服务变成不可能。
  • 当需要公网IP地址时(例如托管Web主机),它不解决IPv4地址耗尽问题。

CGN的一种使用场景可以描述为NAT444[3],因为一些客户与公共服务器的连接将通过三个不同的IPv4寻址域:客户自己的私有网络,运营商的私有网络,以及公共互联网。

另一种CGN场景是双栈精简版(Dual-Stack Lite,也称DS-Lite),其中运营商的网络使用IPv6,因此只需要两个IPv4寻址域。

共享地址空间

如果一个ISP部署CGN并使用RFC 1918地址空间给他们的用户,那么已经使用RFC 1918空间的客户设备存在停止工作的风险。原因是如果网络接口的内部与外部地址相同,路由和NAT将不工作。

这促使一些ISP在ARIN内制定策略,为CGN分配新的私有地址空间,但ARIN推迟它,直至IETF实现策略表明这个问题不是典型的分配但是为技术目的保留(根据RFC 2860)。

IETF创建了RFC 6598,详述了为ISP CGN部署使用的共享地址空间,以及NAT设备可以处理在入站和出站接口上出现的相同地址。ARIN根据此分配的需要将空间返还给IANA[4]分配的地址块为100.64.0.0/10[5]

问题
  • 试图找出IPv4地址是否为公网的设备或软件必须更新以识别新的空间。
  • 为NAT设备分配更多私有IPv4地址空间可能会延长到IPv6的过渡。

缺点

电信级NAT通常会阻止ISP客户使用端口映射,因为网络地址转换(NAT)通常通过将网络中NAT设备的端口映射到外部接口的其他端口来实现,这样路由器才能映射响应到正确的设备。在电信级NAT网络中,即使消费者端的路由器可能已配置为端口转发,ISP处运行CGN的“主路由器”仍将阻止端口转发,因此实际的端口将不是消费者配置的端口。[6]为了克服前者的缺点,端口控制协议(PCP)已在RFC 6887中标准化。

此外,在极少数情况下,可能遇到基于IP地址的封禁问题。以维基百科为例,系统可能封禁发送垃圾信息的用户的IP。如果该用户在一个电信级NAT后面,其他与垃圾发送者共享使用同一公网IP地址的正常用户也将被错误阻止。[6]

参见

参考资料
  1. . [2016-12-31]. (原始内容存档于2017-01-28).
  2. . [2016-12-31]. (原始内容存档于2020-06-02).
  3. . [2016-12-31]. (原始内容存档于2012-05-18).
  4. . [13 September 2012]. (原始内容存档于2017-02-03).
  5. . [2016-12-31]. (原始内容存档于2012-05-03).
  6. (PDF). [2016-12-31]. (原始内容存档 (PDF)于2016-03-04).

外部链接
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.