運營商級NAT(Carrier-grade NAT)
運營商級(Carrier-grade)NAT,是用於緩解是IPV4地址枯竭的一種方法,通過這種方法,原來被分配公網ip的端點、家庭網絡等可以被分配一個私有的ip地址,共享一個地址池。
以家庭網絡為例,最初IPV4地址充足的時候,運營商可以分配給每個家庭一個公網ip,每個家庭使用NAT共享此ip(也可以不使用);而隨着接入的家庭增多,為了防止運營商手中的地址消耗過快,不再分給每個家庭一個公網ip,因此就采用在家庭網絡之上再架設一層NAT,讓這些家庭共享一個地址池的方法來緩解壓力。而這個運營商級別的NAT使用的預留地址空間,顯然不能跟用戶使用的預留地址空間沖突,所以只能再選取另一段地址作為運營商級NAT的地址空間,也就是[RFC6598]中記錄分配的地址空間,這段地址叫Shared Address Space。ARIN根據此分配的需要將空間返還給IANA。分配的地址塊為100.64.0.0/10。
這是近些年的改動,因此很多教科書中的預留地址中並沒有介紹這個地址,事實上預留的地址還有很多,可以自己查閱文檔:|
為什么要用新的地址空間:
最初[RFC1918]分配了三個地址空間作為預留ip地址,供私有網絡作為內網ip使用,其分布如下:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
因為ISP用戶的私有網絡(例如家庭網絡)常用的地址空間就是RFC1918分配的地址空間,因此ISP如果想在用戶的NAT之上再架設NAT,就只能用另一塊地址空間來作為私有地址,不能與用戶使用的地址空間沖突。
如果一個ISP部署一個大范圍的NAT,並且使用[RFC1918]分配的地址空間(即我們最為熟知的那三個預留地址空間),會發生什么?試想一下一個路由器/NAT內外側存在相同的ip地址 😛
CGN的害處
其害處與一般NAT都是類似的,比如損害端到端原則,無法架設服務器等等,見一般教科書即可。另外,這樣一個NAT顯然會使得追蹤ip地址變得困難,因為個人的私有ip地址對應公用地址池中的一個地址的一個端口,顯然,如果不記錄地址翻譯,將很難追蹤一個ip地址的行為。
顯然這種方法也只是緩解IPV4地址不夠用的情況,並不能從根本上解決地址枯竭的問題。
參考資料:
https://en.wikipedia.org/wiki/Carrier-grade_NAT
https://tools.ietf.org/html/rfc1918
https://tools.ietf.org/html/rfc6598