Когда закончатся адреса IPv4 – «CG-NAT»

В одной из прошлых статей мы разобрались в том, зачем нужны IP-адреса, почему они заканчиваются, как можно решить эту проблему и что такое NAT.

NAT (Network Address Translation – преобразование сетевых адресов) чаще всего рассматривают для дома и офиса как возможность использовать один белый адрес для доступа в Интернет. Но существует решение трансляции адресов для операторов – Carrier-Grade NAT (CG-NAT), которое позволяет более эффективно использовать ограниченное адресное пространства IPv4 и упростить переход на IPv6-адресацию.

Преимущества CG-NAT

У решения CG-NAT (также называемого Large-scale NAT (LSN)) есть несколько достоинств, за которые его выбирают операторы для организации широкополосного доступа в Интернет своих абонентов.

Прозрачное подключение (EIM/EIF).

  • Hairpinning.
  • Квоты для пользователей.

CGN обеспечивает наиболее прозрачный способ использования NAT, потому что включает в себя функции Endpoint Independent Mapping (EIM), Endpoint Independent Filtering (EIF) и Hairpinning.

EIM – технология, позволяющая для каждого сочетания частного IP-адреса и порта клиента гарантировать то же сочетание публичных IP-адресов порта. На некоторый период она обеспечивает пользователя статичным публичным IP-адресом и портом, который можно использовать для внешних подключений (это важно для p2p, игр и мобильных устройств).

EIF отсеивает пакеты, которые не предназначены для внутреннего IP-адреса и порта, независимо от IP-адреса и порта внешнего сервера.

Hairpinning позволяет одной машине в локальной сети за NAT получить доступ к другой машине в той же сети по внешнему адресу маршрутизатора.

pic2

В отличие от CGN, традиционные способы реализации NAT не пропускают как любой трафик, идущий из внешней сети (EIM, EIF), так и протоколы внутри локальной сети, идущие петлей от одного устройства к другому.

Еще одним важным преимуществом CGN является то, что у администратора сети есть возможности ограничивать количество портов TCP и UDP, которые может использовать абонент. Это позволяет эффективно распределять порты среди пользователей, а также защищаться от DDoS-атак, использующих ботнет-сети и забивающих все свободные порты абонента.

Несмотря на то что CGN обеспечивает наиболее прозрачный NAT, некоторые протоколы требуют особого внимания. Например, они могут использовать раздельное управление и определенное сочетание IP-адреса и порта при трансляции. Layer Application Gateway (ALG – шлюз уровня приложений) обеспечивает глубокий анализ трафика (DPI) для идентификации и разрешения обхода NAT этим приложениям (VoIP, SIP и др.).

Все устройства, выходящие в интернет через NAT, создают множество сеансов, каждый из которых должен быть записан в журнал CGN. Их отслеживание вызывает очень большую нагрузку на устройство CGN, поэтому наличие таких современных технологий, как Port Batching, Zero-Logging, Compact logging, позволяет уменьшить число логов и увеличить производительность трансляции трафика.

pic3

Поскольку основная функция Carrier-Grade NAT-устройств – обеспечивать пользователям прозрачный доступ в интернет, его использование может быть интересно не только операторам, но и крупным предприятиям, ведь оно способно справляться с огромным трафиком и обрабатывать большое число одновременных соединений. Но не каждое NAT-устройство (межсетевой экран или балансировщик нагрузки) операторского класса, способное обрабатывать большие объемы данных, является Carrier-Grade NAT, как утверждают их производители.

Переход на IPv6

Многие операторы, продолжая использовать IPv4, начинают внедрение IPv6. Будущее за новым протоколом, и рано или поздно все, кто присутствует на рынке, придут к его использованию.

Смягчить переход от IPv4 к IPv6, а именно – реализовать возможность одновременного использования этих протоколов также позволяет Carrier-Grade NAT. Для этого используется несколько методов: NAT64, DS-Lite, 6RD и NAT44(4).

pic4

Технология NAT64, используемая в устройствах CG-NAT, дает возможность операторам связи прозрачно и управляемо предоставлять пользователям услуг на базе IPv6 доступ к контенту и ресурсам с адресами IPv4, транслируя адреса IPv6 в публичные адреса IPv4. Эта технология не требует изменения в клиентском оборудовании.

pic5

Технология DS-Lite DS Lite использует соединение IPv6 между провайдером и клиентом. Пакет IPv4 от клиента во внешнюю сеть инкапсулируется в IPv6 для транспортировки по сети провайдера, затем декапсулируется CGN/AFTR обратно в IPv4 для доставки в публичный интернет. Оператор может развернуть IPv6-сеть, но продолжать предоставлять услуги клиентам по IPv4.

pic6

Технология 6rd реализует предоставление услуги IPv6 клиентам через существующую сеть IPv4. Используется принцип туннелирования 6 в 4. IPv6-адреса выделяются из подсети, которая закреплена за провайдером интернет-услуг, а также все 6to4 relay-устройства находятся под управлением провайдера.

pic7

Технология NAT444 – самый простой способ решения проблемы нехватки адресов IPv4, но к протоколу IPv6 отношения не имеет. Происходит двойное преобразование: клиентский локальный адрес транслируется в локальный адрес провайдера, затем полученный локальный адрес провайдера транслируется в публичный адрес сети интернет. При этом не требуется менять клиентское оборудование и структуру сети.

Для реализации любой из этих технологий необходимо либо использовать специальное оборудование для преобразования адресов или туннелирования (A10 Thunder, F5 BIG-IP Carrier-Grade NAT), либо модернизировать имеющиеся сетевые устройства дополнительными сервисными модулями (Cisco, Juniper, Ericsson).

pic8

Можно «убить двух зайцев», купив устройство, совмещающее несколько функций, например DPI (Deep Packet Inspection) и Carrier-Grade NAT. Такие устройства операторского класса рассчитаны на огромные нагрузки при глубоком анализе трафика, поэтому легко справляются и с трансляцией адресов (функция NAT).

Поделиться в социальных сетях