NAT auf Carrier-Niveau - Carrier-grade NAT
Carrier-Grade-NAT ( CGN oder CGNAT ), auch bekannt als Large-Scale-NAT ( LSN ), ist eine Art von Network Address Translation (NAT) zur Verwendung im IPv4- Netzwerkdesign. Mit CGNAT werden Endstandorte, insbesondere Wohnnetzwerke , mit privaten Netzwerkadressen konfiguriert, die von Middlebox- Netzwerkadressübersetzungsgeräten , die in das Netzwerk des Netzbetreibers eingebettet sind, in öffentliche IPv4-Adressen übersetzt werden, was die gemeinsame Nutzung kleiner Pools öffentlicher Adressen durch viele Endstandorte ermöglicht . Dies verlagert die NAT-Funktion und deren Konfiguration vom Standort des Kunden in das Netz des Internet-Service-Providers (obwohl häufig zusätzlich "herkömmliches" NAT am Standort des Kunden verwendet wird).
NAT auf Carrier-Niveau wird häufig verwendet, um die Erschöpfung von IPv4-Adressen zu verringern .
Ein Anwendungsszenario von CGN wurde als NAT444 bezeichnet , da einige Kundenverbindungen zu Internetdiensten im öffentlichen Internet drei verschiedene IPv4-Adressierungsdomänen durchlaufen würden: das eigene private Netz des Kunden, das private Netz des Betreibers und das öffentliche Internet.
Ein weiteres CGN-Szenario ist Dual-Stack Lite , bei dem das Netz des Carriers IPv6 verwendet und somit nur zwei IPv4-Adressierungsdomänen benötigt werden.
CGNAT-Techniken wurden zum ersten Mal im Jahr 2000 verwendet, um den unmittelbaren Bedarf an einer großen Anzahl von IPv4-Adressen in der Bereitstellung von Mobilfunknetzen durch den General Packet Radio Service (GPRS) zu befriedigen. Die geschätzten CGNAT-Einsätze stiegen von 1200 im Jahr 2014 auf 3400 im Jahr 2016, wobei 28,85 % der untersuchten Einsätze anscheinend in Mobilfunknetzen erfolgten.
Wenn ein ISP ein CGN bereitstellt und den RFC 1918- Adressraum verwendet, um Kunden-Gateways zu nummerieren, besteht das Risiko von Adresskollisionen und damit von Routing-Fehlern, wenn das Kundennetzwerk bereits einen RFC 1918- Adressraum verwendet.
Dies veranlasste einige ISPs, innerhalb des American Registry for Internet Numbers (ARIN) eine Richtlinie zu entwickeln , um neuen privaten Adressraum für CGNs zuzuweisen, aber ARIN verwies die IETF vor der Umsetzung der Richtlinie, was darauf hindeutete, dass es sich nicht um ein typisches Zuweisungsproblem, sondern um eine Reservierung handelte von Adressen für technische Zwecke (gemäß RFC 2860).
Die IETF hat RFC 6598 veröffentlicht , in dem ein gemeinsam genutzter Adressraum für die Verwendung in ISP-CGN-Bereitstellungen beschrieben wird, der dieselben Netzwerkpräfixe verarbeiten kann, die sowohl auf eingehenden als auch auf ausgehenden Schnittstellen auftreten. ARIN hat den Adressraum für diese Zuweisung an die Internet Assigned Numbers Authority (IANA) zurückgegeben. Der zugewiesene Adressblock ist 100.64.0.0/10 .
Geräte, die auswerten, ob eine IPv4-Adresse öffentlich ist, müssen aktualisiert werden, um den neuen Adressraum zu erkennen. Die Zuweisung von mehr privatem IPv4-Adressraum für NAT-Geräte kann den Übergang zu IPv6 verlängern.
Nachteile
Kritiker von Carrier-Grade-NAT argumentieren mit folgenden Aspekten:
- Wie jede Form von NAT durchbricht es das End-to-End-Prinzip .
- Es weist erhebliche Sicherheits-, Skalierbarkeits- und Zuverlässigkeitsprobleme auf, da es zustandsbehaftet ist .
- Es macht es unmöglich, Dienste zu hosten.
- Es löst nicht das Problem der Erschöpfung der IPv4-Adresse, wenn eine öffentliche IP-Adresse benötigt wird, beispielsweise beim Webhosting.
Carrier-Grade-NAT verhindert normalerweise, dass ISP-Kunden die Portweiterleitung verwenden , da die Netzwerkadressübersetzung (NAT) normalerweise durch Zuordnen von Ports der NAT-Geräte im Netzwerk auf andere Ports in der externen Schnittstelle implementiert wird. Dies geschieht, damit der Router die Antworten dem richtigen Gerät zuordnen kann. in Carrier-Grade-NAT-Netzwerken, obwohl der Router auf der Verbraucherseite möglicherweise für die Portweiterleitung konfiguriert ist, blockiert der "Master-Router" des ISP, der das CGN betreibt, diese Portweiterleitung, da der tatsächliche Port nicht der Port wäre vom Verbraucher konfiguriert. Um den erstgenannten Nachteil zu überwinden, wurde das Port Control Protocol (PCP) im RFC 6887 standardisiert.
In Fällen, in denen Datenverkehr basierend auf IP-Adressen gesperrt wird, kann das System den Datenverkehr eines Spamming-Benutzers blockieren, indem die IP-Adresse des Benutzers gesperrt wird. Wenn sich dieser Benutzer hinter NAT der Carrier-Klasse befindet, werden andere Benutzer , die dieselbe öffentliche Adresse mit dem Spammer teilen , fälschlicherweise blockiert. Dies kann zu ernsthaften Problemen für Foren- und Wiki-Administratoren führen, die versuchen, störende Aktionen eines einzelnen Benutzers zu beheben, der eine IP-Adresse mit legitimen Benutzern teilt.