iv4向IPv6缓慢并逾期很久过渡时, 很快会陷入一个尴尬的中间段, 在此期间唯一新全球例程地址是IPv6,大尺度NAT(LSN,又称载波级NAT或CGN)是在这一过渡期间拉伸服务提供商公共IPv4地址空间的基本工具
IPv6项目中, 人最终不会怀着极大希望说 : “如果ISN扩展IPv4空间的存续, 为什么我们要投入部署IPv6的痛苦和开销?就不能部署LSN暂时忘记IPv6可能直到我退休
初见LSN似乎确实承诺IPv4延长存续连互联网都可能永不向IPv6过渡
文章超越ISN自身机制审查LSSN实用网络的影响,以及为什么这一实用技术绝不应被看作是除临时解决办法以外的任何其他解决办法
快速审查LSN架构
传统宽带服务提供者网络保护IPv4地址,为居住在每个客户网络边缘的NAT外部接口分配单公共IPv4地址NAT后所有设备都配有专用IPv4地址。NAT通过映射向公共IPv4地址和TCP或UDP端口的每一种应用流-即私IPv4地址和tCP或UDP端口组合识别-换句话说,NAT多路由映射应用流向单个外部地址
端口为16位数,因此可能65536TCP流和65536UDP流可映射到单IPv4地址平均家庭或小办公点一次不生成近此多流,使小网络边缘地址翻译低效使用公共IPv4地址
LSN系统是服务提供商网络中放入的“集中式NAT系统”。置之不理外加NAT444或取而代之客户NAT与ds-Lite概念相同:公共IPv4地址从客户边缘拉开,即复用容量未有效开发到集中式LSN外部,即多客户网络共享单公共IPv4地址
sn架构设计大都想出每个sn战略定位最能使用公共IPv4地址能力,不夸大地址或高收费
虽然数项研究用户端使用完成后,LSN应可支持3000-5000用户/公共IPv4地址
这些数字加之数万公共IPv4地址目前供客户分配,似乎使ISN成为短期IPv6部署的实用替代物,为IPv4的存续增加年数
在得出这样一个结论前,必须考虑LSN的影响和实际影响
街琌
网络产业的长期实践是通过IP地址识别用户特别是当用户可能不使用时需要识别或识别机器比识别使用机器的个人更重要
通过集中公共IPv4地址,每个地址不再代表单机、单户或单小办公地址表示上千台机器 住宅和办公IP地址识别难或难
网络混淆NAT长久以来一直被视为安全福利(在我看来有误)大群网络混淆除使用同一个宽带提供商外别无常见之处,制造出前所未有的挑战集
其中一个挑战不是行政或技术挑战,而开通某些互联网社区内不良社会行为
编乱板
分享学习经验并乐于讨论政治问题,时我思考LSN后遗症 一天晚上我意识到LSN可以在这些网站 引入一个新的不受欢迎现象
ible讨论组, 特别是处理争议问题组, 可能熟悉troll概念 。多网站允许公众注册和留言, 并特别吸引政治网站与宗教网站甚至在20世纪90年代中期Cisco新闻组crop.dcom.sys.cisco上偶发巨魔
有时巨怪会走得太远 讨论组主持人会删除用户账号有时禁止参赛者会简单创建一个新的Hotmail或Yahooe邮箱地址,以不同用户名重新登录网站,并持续电推直到再次禁止
为了避免这种“重置违法者”行为,有些网站禁止使用IP地址而非用户名的错误行为假设效果更高 通过禁止用户机器 而不是从机器中创建任何账号IP地址居家或小办公网外界面黑名单可能会限制家庭或办公楼内其他人访问网站,
万一网站禁止IPv4地址上千人会因疏忽受限-通常是CMTS或DSLAM组所有订户支持LSN
恶意用户对网站怀有怨恨, 如果他知道网站提供商使用LSN, 可能会故意在网站IP地址黑名单,
黑白
远程网站并非唯一偶发需要基于IP地址黑名单用户本地提供商也需要黑名单能力一些人还使用白列表:添加某些优待或预批白名单和黑名单通常与垃圾邮件和病毒控制并用,但黑名单也可以应用强制使用策略
黑白列表可能需要分解源码应用策略必须在LSN外执行包翻译后,IPv4地址无法轻易识别而不与LSN映射表有某种关联应用输出源-即客户网络内源-的政策出于同样原因必须在面向客户的LSN方面实施
合法拦截
提供商网络内集中地址和端口翻译对遵守CALEA等合法拦截要求构成严重挑战DHCP分配传统网络NAT客户边端变化频繁,容易拦截合法拦截可能仍然比较容易 NAT444架构,只要拦截发生介于CPENAT和LSN依存性是内外部地址是否感兴趣或仅内部地址
IPv4 in-IPv6隧道安装,DS-Lite架构拦截必须用LSN本身完成时间标注地址和端口映射必须保留,这反过来会增加LSN设备重资源负荷登录从LSN存储设备还可能增加网络负载
单题窃听可能意味着静态映射用户到单地址上一定范围端口,消除跟踪动态端口映射的需要单IPv4地址或每个地址的几行端口可留作窃听用以简化程序但任何需求全部用户支持LSN登录将意味着不仅记录流量,而且所有修改映射表
回溯路径
时间戳地址和端口映射不仅对合法拦截至关重要,对从LSSN外部识别问题时追踪特定用户也很重要。问题通常是一个错误行为用户-垃圾桶、dos源码或违反使用策略者-识别用户可能导致黑名单、取消服务或隐式观察以采取法律行动无具体时间日志地址和端口映射,错误行为用户隐藏在LSN背后
合法拦截可能需要记录一或几个用户时,为寻回目的登录可能意味着记录所有用户,至少采样率有余,导致大规模耗用设备资源折中步骤可能只是在检测问题时才启动回溯日志使用少得多资源时,假设不良行动持续时间足够长,以便所有或大多数回溯实时执行
双故障
关于NAT44的长期抱怨是它破解了引用IP包地址的一些应用在一个完美世界中-或至少IP联网概念世界中-应用对网络层不可知性并免去地址变化但现实是多应用程序引用IP地址无所不在用户边缘NAT系统为某些应用创建工作变通方法
双NAT结构NAT444预期破解某些应用,通过单NAT层工作少数MSO目前正在进行测试以确定NAT444会影响什么并因此可能对客户产生什么影响
DS-Lite避免NAT444双重NAT问题,目前似乎是大多数宽带提供商首选解决办法。sl销售商仍然在路径图上使用DS-Lite,而不是产品上使用DS-Lite支持,CPE使用DS-Lite支持稀有因此,该解决方案并不像NAT444立即可用
偏差必备
单点故障、潜在地址耗竭攻击、性能和可扩缩性、对散装包的影响、对非对称交通流的影响、对配方系统的必要修改、内部会计系统的必要修改
因为我们等待时间太长才开始IPv6大规模NAT成为面对耗竭IPv4地址供应支持双叠宽带客户的不可避免必要条件问题复杂LSN引入网络意味着它永远不应被视为过渡技术无法替代IPv6