大尺度NAT架构

NAT444和NAT464

  • 分享脸书
  • 分享Twitter
  • 共享链接
  • 共享eddit
  • 分享邮箱
  • 打印资源

前文讨论的传统NAT使用15年或15年左右,使更多私有设备分享少量公共IPv4地址家庭小商家通常只在NAT外部接口上有一个公共IPv4地址公共地址由宽带服务提供商分配

公用IPv4地址耗竭后, 宽带提供商正在研究如何继续提供客户公用IP地址,答案似乎相当明显:NAT对提供方客户端有效,它也应该对客户端有效大规模NAT基础

sn增加另一层翻译,以便像个人IPv4地址在CPENAT内部使用一样,它们也可以用于分配CPENAT外部地址

图1显示概念实例服务提供商从公共IPv4聚合到LSSN设备上网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网每位客户使用另外私有IPv4块-典型为10.0.0/8-处理网络内所有设备

用户网络中的设备可能发送包到某些互联网端点并源地址为101.1.1CPENAT转源地址为172.16.1.1等ISN源地址翻译到公共IPv4地址,表示201.15.83.1向201.15.83.1响应包转至服务提供方总IPv4地址,再转至适当的LSN,它把目的地地址转回172.16.1.1并发回相应的CPENAT

从互联网到正确客户网络内正确设备精确路由取决于两点:

1级session从客户网络内启动,以便CPENAT和LSN有正确地址和端口映射并

2级外部路由视图总是面向可唯一识别对象公共互联网打包可转至服务提供方独有IPv4聚合地址服务提供者网络内曾使用比特路由将包发送到特定LSN(它通常是边端或聚合路由器上软件处理过程)。LSN局外地址/港口映射指向专用CPENAT,CPENAT局外地址/港口映射

NAT444结构从IPv4地址转换为3IPv4地址方法有吸引力,因为现有的CPENAT可不作修改使用NAT系统不关心外部IPv4地址公有或私有性,因此从CPENAT的观点看,没有什么不同服务提供方部署此架构时不必对客户强制规定特殊设备需求或要求客户改变现有设备任何老NAT都行

简单化NAT444并非没有问题不仅关注此架构的共同点,而且所有LSSN解决方案都是可扩缩性对宽带提供商而言,每个客户网络都可表示家庭内CPENAT背后数台设备或小办公室内CPENAT背后十多台设备每一种设备都可生成多程序流尚没有足够的生产经验来了解单用户网络可处理量的上限值,从性能或向单公共IPv4地址映射蒸汽方面看都是如此。

NAT444的一个特题是客户网络与服务提供商专用地址重叠的可能性举例说,如果提供商使用172.16.0.0/12块LSN和CPENAT之间的地址,客户从同一个块搜索网络,两个区间的独特性丢失,包可能误入歧途保证客户使用非冲突地址范围对提供者来说可能是行政性头痛

与NAT444的另一问题出现时客户想寄包到同一ISN背后的另一客户,图2显示滤波策略防火墙、路由器ACLs甚至是服务器常阻塞网外有私有源地址的包避免问题包必须穿透LSN, 以便源地址转换为公共地址,sn资源被耗尽,即使包除Lsn

解决这两个问题的一个建议方案是把剩余公共IPv4空间块留作“ISP共享地址”空间地址块保留用于NAT444架构中,不同的LSN使用相同的地址与RFC1918地址使用法相同。但由于它们不是RFC1918地址,它们不会与客户网络中的私人地址相冲突因为他们不是RFC1918地址 过滤策略不会阻塞包流客户支持同ISN时不必穿透LSSN

这些问题的另一个解决办法是使用IPv6公共地址LSN和CPENAT,图3显示原创客户网络IPv4包转换为IPv6包跳转CPENAT和LSN并转回IPv4架构NAT464

IPv6外部地址与IPv4内部私址之间没有冲突的可能性假设CPENAT将接收包翻译到IPv4内部地址到局域网,就不应该有过滤问题影响同一LSN背后两个客户之间的通信

NAT464附加优势是提供商和客户之间的联系仅为IPv6,而不是双叠式处理,所以为客户查找足够的IPv4地址问题大都消失因为它支持IPv6IPv4并发IPv4和IPv6并发,它使我们更接近我们最终想实现的目标:纯IPv6网络

NAT464简化LSN和CPENAT中间带,但对LSN和CPENAT本身问题更多最明显的问题就是这两个设备现在必须是NAT64-即它们必须在两个协议版本间翻译极少当前CPENATs支持NAT64,所以使用此解决方案的提供者正面临着要求客户修改设备的问题:大多数提供者都宁可避免行政和客户关系头痛。

更重要的是,地址家庭间翻译比单地址家庭简单翻译复杂得多,NAT64实现(前称NAT-PT)既非性能也非规模性化和NAT44即反映了这一点。NAT64实施已有所改进,并将继续改进,但不可能像NAT44那样高效。

有希望的折中方案称为双栈lite解决方案,通过使用地下通道而非地址家庭翻译消除NAT464复杂性下一页DS-Lite

下一读此 :

关联性 :

Raybet2版权IDG通信公司

十大企业联网2022