我写之前当我们从IPv4向IPv6缓慢而漫长的过渡时,我们很快就会陷入一个尴尬的过渡时期,在这个过渡时期,我们能得到的唯一新的全球可路由地址是IPv6,但我们想要触及的大多数公共内容仍然是IPv4。大规模的NAT(LSN,也称为载波级NAT或CGN)是在这一过渡时期扩展服务提供商的公共IPv4地址空间的必要工具。
我还没有参与过一个涉及LSN的IPv6项目,在这个项目中,有人最终会满怀希望地说:“如果LSN延长了我们的IPv4空间的寿命,为什么我们要付出部署IPv6的痛苦和费用呢?”我们现在就不能部署LSN,忘记IPv6吗?也许直到我退休?”
乍一看,LSN确实似乎承诺延长IPv4的生命周期。它甚至意味着互联网吗从来没有必须转换到IPv6?
本文超越了LSN本身的机制,考察了LSN在实际网络中的含义,以及为什么这种有用的技术永远不能被看作是一种临时解决方案。
快速回顾LSN架构
传统的宽带服务提供商网络通过将一个公共IPv4地址分配给位于每个客户网络边缘的NAT的外部接口来保存IPv4地址。在NAT之后,所有设备都被分配了一个私有的IPv4地址。NAT的工作方式是将每个应用程序流(通过私有IPv4地址和TCP或UDP端口的组合来标识)映射到公共IPv4地址和其中一个TCP或UDP端口。换句话说,NAT通过映射应用程序流将许多内部设备的地址多路复用到单个外部地址。
端口是16位数字,因此可以将65,536个TCP流和65,536个UDP流映射到一个IPv4地址。一般家庭或小型办公室不会同时产生这么多的流量,这使得在这种小型网络的边缘进行地址转换是对公共IPv4地址的低效使用。
一个LSN是一个“集中NAT”放置在服务提供商的网络。这是否是除了在客户边缘的NATNAT444,或而不是客户NAT,与ds lite中,LSN概念是相同的:公共IPv4地址从客户边缘,在那里他们的复用容量不能有效地利用拉远,到中央LSN,许多客户网络可以共享一个公共IPv4地址的外部。
因此,LSN体系结构设计主要是确定每个LSN的战略布局,以便在不过度订阅地址或使LSN本身超负荷的情况下,最大限度地利用每个公共IPv4地址的容量。
虽然只有少数的研究在完成了每个用户端口的使用之后,LSN应该能够支持每个公共IPv4地址3000 - 5000个用户。
这些数字,再加上宽带服务提供商目前为客户分配而持有的数以万计的公共IPv4地址,似乎使LSN成为近期IPv6部署的实际替代方案,延长了IPv4的使用寿命。
在得出这一结论之前,必须考虑LSN的含义和实际影响。
你是谁?
网络行业的一个长期实践是通过IP地址来识别用户。特别是当用户可能不这么做的时候想要或者当机器的识别比使用机器的个人的识别更重要的时候。
通过集中公共IPv4地址,每个地址不再代表一台机器、一个家庭或一个小办公室。这个地址现在表示数千台机器、家庭和办公室,它们只是在同一个LSN后面相关。通过IP地址进行识别变得非常困难或不可能。
长期以来,人们一直认为(在我看来,这是不正确的)NAT背后的网络混淆是一种安全好处。除了使用同一个宽带提供商之外没有任何共同之处的大型网络群的混乱造成了一系列前所未有的挑战。
其中一个挑战不是管理或技术上的,而是为某些互联网社区中不受欢迎的社会行为打开了大门。
挑拨离间
我喜欢参加互联网上的一些政治讨论小组,以获得学习经验和辩论政治问题的乐趣。一天晚上,当我在考虑LSN的后果时,我意识到LSN可能会在这些站点上引入一种新的不受欢迎的现象。
如果你曾经参加过一个开放的互联网讨论小组,特别是一个处理有争议的问题的小组,你可能对“巨魔”这个概念很熟悉。A troll is someone who is not really interested in the discussion at hand, but instead enjoys making outrageous or inflammatory remarks just to upset the other participants. They are a part of many websites where the general public is allowed to register and leave comments, and they are particularly attracted to political and religious websites. I remember the occasional troll even on the old Cisco Usenet newsgroup, comp.dcom.sys.cisco, in the mid 1990s.
有时,一个巨魔会走得太远,并通过删除他的用户帐户讨论小组的主持人将“封杀”了他。有时,一个被禁止的参与者都将只需创建一个新的Hotmail或Yahoo的电子邮件地址,根据不同的用户名注册回现场,并继续拖钓,直到再次被禁止。
为了防止这种“惯犯”行为,一些网站将禁止通过IP地址而不是用户名的行为不端的用户。这被认为是更有效的,通过禁止用户的机器,而不是他可能会从机器上创建的任何帐户。如果IP地址是一个家庭或小型办公室NAT的外部接口上,列入黑名单,可能限制其他人在家里或办公室访问该网站,但完全少数“无辜的旁观者”都受到影响。
会发生什么,不过,如果一个网站上的LSN外禁止的IPv4地址?在限制单个用户的努力,成千上万的人将被无意中限制 - 通常在CMTS或一组LSN背后的DSLAM的所有订户。
恶意用户对一个特定的网站充满怨恨的人,如果他知道他的提供者使用LSN,故意让自己被IP地址列入黑名单的网站为了他的同时得到几千邻居禁止——他将执行一个小规模的DoS攻击导致网站管理员自己无意中执行拒绝服务。
黑色和白色
远程站点并不是唯一偶尔需要基于IP地址将用户列入黑名单的站点。本地提供者还需要黑名单功能。有些还使用白名单:增加一些优惠待遇或预先批准。通常,白名单和黑名单与垃圾邮件和病毒控制一起使用,但黑名单也可以用于实施使用策略。
在LSN架构中,黑清单或白清单可能需要分开。应用到传入源的策略必须在LSN的外部实现;数据包翻译完成后,如果不与LSN的映射表有一定的相关性,就不能通过IPv4地址轻松地识别它们。出于同样的原因,应用于传出源(即客户网络中的源)的策略必须在LSN面向客户的一端实现。
合法的拦截
提供者网络中的集中地址和端口转换对遵守合法拦截要求(如CALEA)提出了严重挑战。DHCP分配到传统网络的NATs在客户边缘很少变化,使截获容易。使用NAT444架构,合法的拦截可能仍然相当容易,只要拦截发生之间的CPE NAT和LSN。这里的依赖关系是内部地址和外部地址,还是只涉及内部地址。
由于它的IPv4-in-IPv6隧道,在DS-Lite架构中拦截必须在LSN本身上执行。必须维护LSN上地址和端口映射的时间戳日志记录,这反过来会给LSN设备增加沉重的资源负担。从LSN登录到存储设备也可能导致网络负载增加。
对单一主题的窃听可能意味着静态地将用户映射到单一地址上的特定范围的端口,以消除跟踪动态端口映射的需要。一个单独的IPv4地址,或者每个地址的一些端口范围,可能会被预留出来用于窃听目的,以简化窃听过程。但是任何要求所有一个LSN登录后的用户将意味着日志不仅交通,但所有更改映射表。
回溯
地址和端口映射的时间戳记录不仅是合法的拦截也为当问题从LSN外部标识追溯具体用户至关重要。这样的问题通常是一个行为异常的用户 - 垃圾邮件发送者,DoS攻击源,或者有人违反使用策略 - 与用户的识别可能导致黑上市,取消业务,或采取法律行动隐蔽观察。如果没有地址和端口映射的具体时间日志,出现异常的用户停留以及隐藏在背后的LSN。
但是,在合法拦截可能需要一个记录或几个用户,日志记录回溯目的可能意味着登录的所有用户,至少在某些采样率,造成设备资源的大量消耗。一种折衷的一步可能开始检测到问题,只有当回溯记录;同时采用少得多的资源,它假设的不良行为将持续足够长的全部或大部分回溯的实时执行。
双重麻烦
一个关于NAT44的长期抱怨是它破坏了一些引用其数据包的IP地址的应用程序。在一个完美的世界里——或者至少在IP网络的概念世界里——应用程序对网络层是不可知的,因此对通过NAT改变的地址是免疫的,但现实是许多应用程序确实引用了IP地址。对于普遍存在的用户边缘NAT,已经为一些应用程序创建了变通方法。
NAT444的双重NAT结构可有望打破一些应用程序将通过一个单一的NAT层工作。一些多系统运营商目前正在进行试验,以确定哪些将被NAT444的影响,因此可能对他们的客户什么样的影响。
DS-精简版避免NAT444的双NAT问题,并且当前是对于大多数宽带服务提供商的首选方案。但有些LSN供应商仍然有DS-精简版在他们的路线图,而不是在他们的产品,并与CPE DS-精简版的支持是罕见的。因此,该解决方案是不是立即可用的NAT444。
一个不完美的必要性
有大约LSN等来解决的问题:单点故障,潜在的地址池枯竭攻击,性能和可扩展性,对分段的数据包,非对称交通流的影响,需要修改配置系统,需要修改内部会计系统。
由于我们已经等了太久才开始实施IPv6,面对耗尽的IPv4地址供应,大规模的NAT已经成为支持双层叠宽带客户不可避免的必要条件。但LSN给网络带来的问题和复杂性意味着,它只能被视为一种过渡性技术。它不能替代IPv6。