Carrier-grade NAT
Carrier-grade NAT (CGN, též large-scale NAT, LSN) je v počítačových sítích přístup, který řeší adresování v IPv4 sítích, které používají IP adresy z rozsahu privátních sítí a potřebují provádět netriviální NAT. CGN je řešen pomocí specializovaného zařízení, skrze který prochází veškerý vnitřní i vnější síťový provoz a které přepisuje adresy v IP datagramech tak, aby byla zajištěna funkčnost end–to–end propojení všech zúčastněných počítačů nezávisle na jejich umístění ve veřejné části Internetu nebo ve vnitřní síti LAN.
CGN bylo navrženo jako nástroj pro zmírnění problémů způsobených vyčerpáním IPv4 adres.[1]
Charakteristika
Pro sítě používající CGN byl vyčleněn rozsah 100.64.0.0/10
.[2]
Kritici CGN argumentují těmito aspekty:
- Stejně jako jakákoli forma NAT, rozbije end-to-end spojení.[3]
- Má významné problémy s bezpečností, škálovatelností a spolehlivostí, protože je stavový.
- Uchování záznamů o komunikaci (ze zákonných důvodů) dělá složitější, s výjimkou případu kdy je veškerý překlad adres na CGN zaznamenáván.
- Znemožňuje hostovat služby.
- Neřeší problém vyčerpání IPv4 adres když je potřeba veřejná IP adresa, jako například u webhostingu.
Jeden z použitých scénářů CGN lze popsat jako NAT444,[4] protože některá spojení zákazníků s veřejnými servery v Internetu mohou procházet třemi různými IPv4 doménami: zákazníkovou privátní sítí, privátní sítí operátora a veřejným Internetem.
Jiný CGN scénář je tzv. Dual-Stack Lite, ve kterém síť operátora používá interně IPv6, a kde jsou proto zapotřebí pouze dvě adresní IPV4 domény.
Sdílený adresní prostor
Pokud ISP nasadí CGN a použije pro své zákazníky rozsah IP adres daný RFC 1918, je zde riziko že zákazníkova zařízení již používají adresní prostor RFC 1918 a přestanou pracovat. Důvodem je, že směrování a NAT nebude fungovat, pokud budou stejné adresy na vnitřním i vnějším síťovém rozhraní.
To přimělo některé ISP vytvořit politiku v rámci ARIN pro přidělení nového privátního adresního rozsahu pro CGN, ale ARIN před implementací tuto politiku převedl na IETF, protože podstatou nebyla typická alokace, ale vyhrazení rozsahu k technickým účelům (dle RFC 2860).
IETF vytvořil RFC 6598, popisující „nasazení sdíleného adresního prostoru“ pro použití v ISP CGN a pro NAT zařízení, které zvládnou stejné adresy vyskytující se jak na příchozí tak i odchozích rozhraních. ARIN vrátil adresní prostor IANA, jak bylo touto alokací požadováno.[5] Alokovaný adresní prostor je 100.64.0.0/10.[2]
Problémy
- Zařízení nebo software, které se snaží zjistit zda je adresa IPv4 veřejná, bude muset být aktualizováno tak, aby rozpoznalo nový prostor.
- Alokace více soukromých IPv4 adresní prostorů pro NAT zařízení může prodloužit přechod na IPv6.
Nevýhody
CGN obvykle znemožňuje ISP zákazníkům používat přesměrování portu, protože Network Address Translation (NAT) je obvykle realizován mapování portů NAT zařízení v síti na jiné porty v externí rozhraní. Tím je router schopen správně mapovat odpovědi na správná zařízení. V CGN síti pak bude zákazník s nakonfigurovaným přesměrování portu blokován „master routerem“ poskytovatele (na kterém běží CGN), protože aktuální port nebude stejný jako port nakonfigurovaný spotřebitelem.[6] Pro překonání tohoto problému byl navržen protokol PCP (Port Control Protocol), který byl standardizován v RFC 6887.
Kromě toho může ve vzácných případech vzniknout problém banu (zablokování), který je založen na IP adresách (jak je běžné například na Wikipedii). V tomto případě může být zablokováním konkrétní IP adresy chybně zablokován i další uživatel, který je za stejným CGN poskytovatele internetového připojení, protože tím používá i stejné sdílené veřejné IP adresy.[6]
Reference
- RFC 6264 - An Incremental Carrier-Grade NAT (CGN) for IPv6 Transition [online]. Dostupné online. (anglicky)
- 100.64.0.0/10 – Shared Transition Space [online]. Dostupné online. (anglicky)
- Assessing the Impact of NAT444 on Network Applications [online]. Dostupné online. (anglicky)
- NAT444 (CGN/LSN) and What it Breaks [online]. Dostupné online. (anglicky)
- Re: shared address space... a reality! [online]. [cit. 2012-09-13]. Dostupné online. (anglicky)
- http://stakeholders.ofcom.org.uk/binaries/research/technology-research/2013/cgnat.pdf
Související články
Externí odkazy
- (česky) http://www.root.cz/clanky/implementujeme-cgn-necekane-nastrahy/
- (česky) http://www.root.cz/clanky/implementujeme-cgn-zalohovani/