大规模NAT能拯救IPv4吗?

原创
网络 新闻
一位年长的IT管理人员告诉我:“如果LSN能延长IPv4地址空间的寿命,那我们为什么还要费心费力地部署IPv6呢?何不部署LSN,IPv6暂缓?时间一晃,也许我就该退休了!”,虽然这个家伙的话有点消极,但LSN的确能延长IPv4地址空间的寿命,但难道这样Internet就不应该过渡到IPv6吗?本文就来解答这些疑问,并列举一些缺点证明LSN只是一个临时的解决办法,转移到IPv6是不可避免的。

【51CTO.com 10月11日外电头条】我此前曾撰文呼吁过应该及早从IPv4向IPv6过渡,IPv4地址即将枯竭,在全球路由切换到IPv6之前,我们要陷入一个困难的过渡时期,对于大多数公共内容,我们仍然希望使用IPv4可访问,大规模NAT(Large Scale NAT,LSN)或电信级NAT(Carrier Grade NAT,CGN)是过渡期间服务提供商延长公共IPv4地址空间寿命最基本的技术。

一位年长的IT管理人员告诉我:“如果LSN能延长IPv4地址空间的寿命,那我们为什么还要费心费力地部署IPv6呢?何不部署LSN,IPv6暂缓?时间一晃,也许我就该退休了!”,虽然这个家伙的话有点消极,但LSN的确能延长IPv4地址空间的寿命,但难道这样Internet就不应该过渡到IPv6吗?本文就来解答这些疑问,并列举一些缺点证明LSN只是一个临时的解决办法,转移到IPv6是不可避免的。

LSN架构概览

传统的宽带服务供应商只给每个客户网络的NAT外部接口分配一个公共IPv4地址,这样做的目的就是为了节省有限的IPv4地址空间,在NAT后面,所有设备全部分配私有IPv4地址,NAT负责公共IPv4地址和私有IPv4地址之间的映射,一般来说需要结合IPv4地址和TCP或UDP端口号才能确定应用程序或计算机的身份,换句话说就是,NAT要通过映射应用程序数据流,将多个配有私有IPv4地址的设备连接到配有一个外部地址的设备。

端口是16位数字,因此最多可将65536个TCP和UDP流映射到单个IPv4地址,基本上不会有哪个家庭或小型公司会在同一时间产生这么大的数据流,因此可以应付绝大多数的上网需求。

LSN是置于服务供应商网络中的一个“集中化NAT”,无论是附加在客户网络边缘的NAT,如NAT444,还是代替客户的NAT,如DS-Lite,LSN概念都是一样的:公共IPv4地址远离客户网络,多个客户网络共享一个公共IPv4地址。

LSN架构设计的主要内容就是设计每个LSN的战略布局,以及在不使LSN本身超负荷的情况下,设计每个公共IPv4地址的最佳使用容量,按照以往的经验,每个LSN每个公共IPv4地址应该可以支持3000-5000用户。#p#

你是谁?LSN让网络身份识别难上加难

从有网络以来,我们就是通过IP地址来识别用户或计算机的,但集中化公共IPv4地址后,每个地址就不能再代表一台机器,一个家庭或一个小型分支机构了,现在一个地址可能会代表数千台计算机,数千个家庭和分支机构,因此要通过IP地址进行身份识别就变得不现实或很困难了。

长久以来,人们总是认为位于NAT后面的网络很安全,在我看来,这是错误的,除了共享有限的互联网带宽外,给网络管理也带来了前所未有的挑战。

本是恶作剧,但可能造成意想不到的后果

我喜欢参加互联网上的一些政治讨论组,可以学习到不少东西,还可以享受辩论的乐趣,如果你曾经参加过互联网讨论组,特别是讨论有争议的问题,你一定知道有人会故意给讨论会添乱,他们喜欢发表煽动性言论,旨在破坏参与者的思路,这种人喜欢在允许发表公开意见的网站发表所谓的“高论”,主要是吸引对政治和宗教感兴趣的人参与讨论。

有时这些人因言论过激会被禁言,甚至删除账号,但他们只要用新的Hotmail或Yahoo邮件地址就可以注册新的用户,并继续搞破坏。为了防止这种“惯犯”行为,有些网站会通过禁用IP地址封杀言行不端的用户,这样相当于是禁用了用户的计算机,如果该IP地址恰好地一个家庭或小型分支机构的NAT外部接口,该网络中的其他用户就无辜被禁,这就是NAT的缺点,为了限制某一个用户,或许会让数以千计的用户被牵连。

如果在LSN网络中有人不怀好意,他可以故意违反某个网站的规定,于是网站管理员会通过封IP实施惩罚,但殊不知这一行为会导致该LSN中的大量用户同样受到影响,从安全的角度讲,这算是一次小规模的拒绝服务攻击,也许网站管理员根本毫不知情。

黑名单和白名单,必须在NAT两端实施

不仅网站需要基于IP地址的黑名单用户列表,本地服务商也需要黑名单,当然也需要白名单(绿色通道),黑名单和白名单常用于对付垃圾邮件和病毒控制,但黑名单还可以用于强制实施使用策略。

在LSN架构中,黑名单和白名单可能需要分开,应用于入站通信的策略必须在LSN的外部接口上得到落实,当数据包转换后,如果没有LSN的映射表,就很难通过IPv4地址进行身份识别了,同样,应用于出站通信的策略必须在LSN面向用户的一侧得到落实。#p#

合法监听一个人,所有人可能都会被监听

集中的地址和端口会给合法监听需求带来极大的挑战,DHCP分配给传统NAT网络的IP地址在客户端很少改变,因此在这种情况下要实施合法监听相对比较容易,即便是在NAT444架构下,实施合法监听还是相当容易的,只要在LSN和CPE NAT之间监听即可。

在DS-Lite架构下,由于采用了IPv6中走IPv4的隧道模式,监听必须在LSN自身上进行,在LSN上必须维护地址和端口的映射的时间戳记录,但这样又会给LSN设备增加沉重的负担,记录到LSN范围之外的存储设备也将有助于减轻LSN网络的负载。

单一主题的监听可能意味着在单一地址上将用户静态映射到特定范围的端口,因此有些端口可能是为合法监听预留的,但在LSN环境中,所有用户的通信都将被监听。

反向追踪的资源消耗巨大

地址和端口映射的时间戳记录不仅可以用于合法监听,还可以用于追踪特殊用户,如垃圾邮件发送者,DoS源,或违反使用策略的偏激用户,如果没有地址和端口映射的时间戳记录,隐藏在LSN背后的行为不端者将会安然无恙。

但合法监听需要记录一或多个用户,如果要进行精准追踪,可能要对全体用户进行记录,至少要按照一定的采样率进行抽样记录,仅这一项就会造成大量的资源消耗,一个折中的办法是当检测到问题时开启追踪记录,但这需要不端行为持续时间长才行。

双重NAT问题

关于NAT444一直都有一个抱怨,它破坏了那些引用了IP地址的应用程序,理想情况下,应用程序应该与网络层无关,因此地址变化不应该对其有任何影响,但事实上,很多应用程序都引用了IP地址,或者说绑定了IP地址,一旦IP发生变化,应用程序很可能出现异常或不可用。

NAT444的双重NAT结构可能会破坏那些原本可以在单NAT环境下正常运行的应用程序,一些应用程序厂商已经在测试自己的应用程序是否会受NAT444架构的影响。

DS-Lite避免了NAT444的双重NAT问题,它已成为现今许多宽带运营商的首选方案,但有些LSN供应商只能在他们的路线图上看到DS-Lite的影子,而未正式部署,在DS-Lite基础上部署CPE的就更少了。

最终结论:LSN只是过渡性技术,IPv6不可替代

关于LSN还有其它许多值得关注的问题,如单点故障,潜在的地址池资源耗尽攻击,性能和扩展性,数据包碎片的影响,非对称通信流的影响,为满足配置系统需要的修改,为满足内部会计制度需要的修改等。

因为IPv6已经让我们等待太久了,在IPv4地址面临枯竭的背景下,LSN是不得已而为之的临时解决办法,但LSN的复杂性和它引起的问题注定它不会成为主流,它始终只是一个过渡性技术,IPv6是没有替代品的。

原文标题:Can Large Scale NAT Save IPv4?       原文作者:jdoyle

【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及作者!】

 

责任编辑:林琳 来源: 51CTO.com
相关推荐

2010-06-30 17:36:53

IPv4IPv6

2019-02-13 14:51:29

2011-08-22 10:03:43

2010-07-01 15:52:30

2010-06-01 16:50:23

2019-11-28 10:07:04

Pv4IPv6提供商

2010-06-10 10:07:22

IPv4IPv6NAT

2011-04-02 16:41:44

IPv4IP地址IPv4地址

2019-02-28 10:32:26

IPv6网络资源

2019-02-26 15:06:44

IPv4IPv6互联网

2018-12-20 15:25:29

P4NAT64UCloud

2019-09-23 11:03:55

IPv6IPv4网络

2010-12-30 12:14:40

2018-11-23 09:11:18

IPV4IPV6头部

2022-05-30 19:30:39

IPv4IPv6

2020-05-12 09:01:30

IPv6IPv4网络协议

2013-07-24 09:56:48

IPv4IPv6

2018-09-28 09:24:19

IPv4IPv6IP地址

2012-04-11 11:23:53

联通IPv4地址IPv6

2010-05-26 17:53:38

IPv4 to IPv
点赞
收藏

51CTO技术栈公众号