Zum Inhalt springen Weiter zur Suche
Testversion
Glossar 

Was ist Carrier-grade NAT (CGN/CGNAT)?

In den Anfängen des Internets (in den 1980er Jahren) sollte jeder angeschlossene Computer eine eigene, eindeutige öffentliche IP-Adresse haben. Die IP-Adressierung war ursprünglich durch vier Oktette definiert - vier Gruppen von acht Bits, eine Standard namens IPv4-was zu mehr als vier Milliarden eindeutigen Werten führte (eigentlich 4.294.967.296), so dass es damals so aussah, als würden wir nie leer ausgehen.

In den späten 1980er Jahren wurde jedoch deutlich, dass die rasante Verbreitung des Internets diesen großen Adressenpool irgendwann erschöpfen würde. IPv6 war als Nachfolgeprotokoll von IPv4 vorgesehen und sollte das Problem des begrenzten Adressraums lösen. Allerdings war IPv6 nicht abwärtskompatibel, und das Problem der begrenzten Adressen blieb bestehen. Carrier Grade NAT (CGNAT) wurde als Lösung für dieses Problem entwickelt, in erster Linie für Dienstanbieter.

IPv4-Erschöpfung - Die Geschichte

Im Juni 1992 wurde als Folge des erstaunlichen Wachstums des Internets RFC 1338, Supernetting: an Address Assignment and Aggregation Strategy, veröffentlicht. Dieses Memo war das erste, in dem die Folgen der "eventuellen Erschöpfung des 32-Bit-IP-Adressraums" erörtert wurden. Zwei Jahre später wurde RFC 1631, The IP Network Address Translator (NAT), veröffentlicht.

Ein Protokoll namens IPv6 wurde 1998 als Standardentwurf (RFC 2460) als Nachfolger von IPv4 und als langfristige Lösung für die Erschöpfung der IPv4-Adressen. Dieses Protokoll bot einen Adressraum von 128 Bit (insgesamt 3,4×1038 Adressen - etwa 340 Billionen Billionen), aber erst im Juli 2017, also 19 Jahre später, wurde es von der Internet Engineering Task Force (IETF) zum Internetstandard erklärt (RFC 8200).

 

Standard-NAT und IPv4-Adressen

Der ursprüngliche Entwurf der Netzwerkadressübersetzung ermöglicht es mehreren Endkunden, einen beliebigen privaten Adressbereich für ihre internen Netze zu verwenden. Um interne Hosts an externe Hosts weiterzuleiten, übersetzt ein NAT-Dienst private IP-Adressen in öffentliche IP-Adressen. Wenn das Routing zwischen IPv4-Netzen erfolgt, wird die Technologie als NAT44 für Network Address Translation von IPv4- zu IPv4-Adressen bezeichnet. Die nachstehende Abbildung zeigt ein vereinfachtes Diagramm eines Customer Premises Equipment (CPE)- Gateways mit NAT, das private Adressen in öffentliche Adressen übersetzt.

Standard-Netzwerkadressübersetzung - Umwandlung privater IP- in öffentliche IP-Adressen

Standard-Netzwerkadressübersetzung - Umwandlung privater IP- in öffentliche IP-Adressen

Standard-NAT, bei dem mehrere interne Stub-Domain-Adressen auf eine einzige globale öffentliche Adresse abgebildet werden und umgekehrt, funktionierte gut für Verbraucher- und Unternehmenslösungen, aber NAT-Einsätze weiteten sich bald über Unternehmensnetze hinaus auf private und mobile Netze aus. Da jedes Kunden-CPE oder mobile Gerät eine öffentliche IP-Adresse benötigte und die Akzeptanz bei den Verbrauchern schnell zunahm, wurde das Problem der Erschöpfung des IPv4 im Internet immer drängender.Öffentliche Telekommunikation löst IPv4-Erschöpfung und spart ~ 2 Millionen Dollar

Carrier Grade Network Address Translation (CGNAT)

Infolgedessen benötigten Dienstanbieter, darunter Internetdienstanbieter, Breitbandkabel- und Mobilfunkbetreiber, bald eine Technologie, um den begrenzten Pool öffentlicher IP-Adressen noch weiter zu strecken und einige besondere Leistungs- und Funktionsanforderungen zu erfüllen. Die IETF Network Working Group begann mit der Analyse dieses Problems und veröffentlichte ab 2009 eine Reihe von "Request for Comment" (RFCs) zur Verbesserung der traditionellen Netzwerkadressübersetzung (NAT).

Die IETF-RFCs enthielten Empfehlungen, ermittelten Einsatzbeschränkungen und Anforderungen für "Carrier Grade NAT", auch Large Scale NAT (LSN) oder NAT 444 genannt. Heute ist Carrier Grade NAT (CGNAT) eine ausgereifte Technologie, deren Betrieb durch IETF-RFCs und Dokumententwürfe gut standardisiert ist.

Übliche Einsatzszenarien für NAT44 und NAT444

Übliche Einsatzszenarien für NAT44 und NAT444

Bewährte CGNAT-Lösungen

A10 NetworksIPv4-Konservierung mit Carrier-Grade-NAT (CGNAT) und IPv6-Migrationstechnologien sind bewährte Lösungen, um die Anforderungen Ihres wachsenden Teilnehmer- und IoT-Netzwerks zu erfüllen und Konnektivität sicherzustellen.

Erfahren Sie, wie sich unsere Lösung zur IPv4-Erhaltung und IPv6-Migration in den größten Netzwerken weltweit bewährt hat.

CGNAT für Dienstleistungsanbieter

Während Standard-NAT eine private IPv4-Adresse in eine öffentliche IPv4-Adresse übersetzt, fügt Carrier Grade NAT (CGNAT) eine zusätzliche Übersetzungsschicht hinzu. Dadurch können ISPs ihre eigenen öffentlichen IPv4-Adressen beibehalten, den Teilnehmerverkehr über das private IPv4-Netz des Dienstanbieters abwickeln und Teilnehmer oder Unternehmen unterstützen, die ebenfalls ihre eigenen privaten IPv4-Netze und mehrere Standorte oder Geräte haben. Typischerweise wird Carrier Grade NAT (CGNAT) in einem NAT 444-Szenario verwendet, das die Übersetzung vornimmt:

  • (Kunde) Private IPv4- bis (ISP) Private IPv4-Netzwerkadresse
  • (ISP) Private IPv4-Netzwerkadresse an (ISP) Öffentliche IPv4-Netzwerkadresse, für die Verbindung zum Internet

Das Ergebnis einer NAT444-Einrichtung (von privat zu privat zu öffentlich) besteht darin, dass mehrere Kundennetze mit eigenem internem Netzwerkadressraum über den internen Netzwerkadressraum des ISP geleitet werden können und eine einzige öffentliche Internet-IPv4-Adresse des ISP für den Zugang zum Internet nutzen.

NAT444-Einsatz

Das folgende Diagramm zeigt einen Einsatz von NAT444 (privat, privat, öffentlich) mit drei Kundennetzen, die alle denselben internen IPv4-Adressraum mit externen IPv4-Adressen verwenden, die für den ISP privat sind und sich eine einzige öffentliche IPv4-Adresse teilen.

CGNAT-Implementierung von NAT444 mit Network Address Translation von privat zu privat zu öffentlich

CGNAT-Implementierung von NAT444 mit Network Address Translation von privat zu privat zu öffentlich

Während der Umgang mit der IPv4-Erschöpfung konzeptionell einfach ist, kann die Umsetzung im großen Maßstab kompliziert sein. Hier ist die Expertise von A10 im Bereich Carrier Grade NAT (CGNAT) von unschätzbarem Wert. Die Lösung von A10 entspricht den Industriestandards und bietet darüber hinaus Erweiterungen für einen vereinfachten Betrieb. Siehe die Fallstudie Uber löst IPv4-Exhaustion im großen Maßstab.

NAT64 und die Umstellung auf IPv6

NAT64 ist eine Technologie, die es reinen IPv6-Clients ermöglicht, auf alte reine IPv4-Dienste zuzugreifen. Das NAT64-Gerät fungiert als Gateway für die DNS-Anfragen des Clients (unter Verwendung von DNS64) und übersetzt bei Bedarf IPv4-DNS-Antworten in IPv6-DNS-Antworten.

Weitere Informationen über die IPv6-Umstellung für Netzbetreiber finden Sie in der IETF-Spezifikation An Incremental Carrier-Grade NAT (CGN) for IPv6 Transition.

Vorteile von Carrier Grade NAT

IP wurde ursprünglich nach dem End-to-End-Prinzip für die Vernetzung konzipiert. Dies bedeutet, dass Anwendungsprotokolle erwarten können, direkt zwischen Hosts zu kommunizieren, ohne dass Zwischensysteme die Paketköpfe oder die Nutzlast verändern. Da NAT zumindest die IP-Adressen ändert und manchmal auch andere Protokoll-Header und Nutzdaten verändert, kann NAT die Kommunikation unterbrechen. Carrier Grade NAT (CGNAT) löst dieses und andere Probleme, die mit der Verwendung von herkömmlichem NAT in großem Maßstab verbunden sind, durch die Einbeziehung der folgenden Funktionen:

  • Application Level Gateway (ALG) wurde entwickelt, um das Problem zu lösen, dass NAT-Server die Kommunikation unterbrechen. Auf der Grundlage der Proxy-Server-Technologie ändern ALGs auf intelligente Weise die erforderlichen Kopfzeilen und Nutzdaten des Anwendungsprotokolls, damit sie mit dem Protokoll übereinstimmen, das vom NAT weitergeleitet wird.
  • Endpoint Independent Mapping (EIM), Endpoint Independent Filtering (EIF) und Hairpinning bieten transparente NAT-Konnektivität. Herkömmliche NAT-Implementierungen lassen keinen Datenverkehr zu, der von außen initiiert wird (EIM, EIF), oder für Protokolle, die Hairpin benötigen, d. h. ihren Datenverkehr zurück nach innen schleifen.

Hohe Skalenanforderungen für Dienstanbieter

Carrier-Netzwerke, große Unternehmen, Hochschulen und ISPs benötigen weitaus anspruchsvollere Carrier Grade NAT (CGNAT)-Funktionen als Privatkunden- und kleine Unternehmensnetzwerke, da auch sie kritische Anforderungen an Leistung, Zuverlässigkeit und Verwaltbarkeit haben.

  • Leistung - Carrier Grade NAT-Lösungen müssen Millionen von gleichzeitigen Netzwerkverbindungen unterstützen
  • Skalierbarkeit - Carrier-Lösungen müssen dynamisch skalierbar sein und bei Bedarf zusätzlichen Durchsatz liefern, ohne den bestehenden Netzverkehr zu unterbrechen.
  • Hohe Verfügbarkeit - Carrier Grade NAT-Lösungen erfordern eine sehr hohe Verfügbarkeit rund um die Uhr ohne Unterbrechung des Dienstes für den Benutzer. Dies erfordert ein nahtloses Failover im Falle von Komponentenausfällen mit Sitzungserhalt
  • Zentrales Management - Groß angelegte NAT-/Carrier Grade NAT-Lösungen müssen in die wichtigsten zentralen Netzwerkmanagement-Plattformen und DevOps-Infrastrukturen für eine zentrale Protokollierung integriert werden können.
  • Erweiterte Protokollierung - Alle Geräte, die eine Verbindung zum Internet herstellen, produzieren eine Vielzahl von Sitzungen, so dass die Verfolgung aller Sitzungen eine riesige Menge an Protokollnachrichten erzeugt. Carrier Grade NAT-Lösungen müssen fortschrittliche Techniken zur Reduzierung des Protokollvolumens bieten, wie z. B. Port Batching, Zero Logging und Compact Logging sowie Filterung, um relevante, umsetzbare Erkenntnisse zu liefern.
  • Sicherheit - Von entscheidender Bedeutung für CGNAT-Implementierungen ist die Notwendigkeit spezifischer, tiefgreifender Sicherheits- und Verteidigungsmaßnahmen gegen Angriffe wie Distributed Denial of Service (DDoS)-Angriffe auf CGNAT-Pools.DDoS-Angriffe können innerhalb eines Netzes oder aus dem Internet erfolgen.
    A10 Thunder® Carrier Grade Networking (CGN ) hilft, Angriffe aus dem Netzwerk oder aus dem Internet zu verhindern
  • Benutzerkontingente - Die Möglichkeit eines Administrators, die Anzahl der TCP- und UDP-Ports zu begrenzen, die von einem einzelnen Teilnehmer verwendet werden können, ist in ISP- und MNP-Umgebungen (Mobile Network Provider) von entscheidender Bedeutung, um eine faire Aufteilung der Ressourcen unter den Teilnehmern zu gewährleisten. Wenn sie nicht verwaltet werden, kann die Konnektivität für andere Abonnenten leicht durch externe Angreifer beeinträchtigt werden.

Umstellung auf IPv6

IPv6 wurde im Dezember 1998 von der IETF als Standardentwurf eingeführt, um das Problem der IPv4-Erschöpfung zu lösen, und im Juli 2017 vollständig ratifiziert. Seit seiner Einführung hat sich IPv6 weltweit bei Geräten, Netzwerken von Dienstanbietern und Inhaltsanbietern zunehmend durchgesetzt, wobei es jedoch je nach Land erhebliche geografische Unterschiede gibt.

Mobilfunkbetreiber, Internetdiensteanbieter und Hersteller von Mobilgeräten haben die Einführung vorangetrieben, und die neueren Generationen von Mobilgeräten (4G/5G) unterstützen sowohl IPv4 als auch IPv6. Große Anbieter von Webinhalten wie Google, Alexa, Facebook, Yahoo, YouTube und andere haben IPv6 eingeführt. Unternehmen haben im Allgemeinen langsamer auf IPv6 umgestellt, was vor allem auf die Kosten für die Umstellung der bestehenden Netzinfrastruktur zurückzuführen ist, aber die Einführung wird immer schneller.

Es gibt jedoch immer noch eine große Anzahl von Websites, Geräten und Netzen, die hauptsächlich IPv4 verwenden, und die meisten Dienstanbieter, Bildungseinrichtungen und Unternehmen müssen für ihre Nutzer und Abonnenten die Konnektivität zwischen IPv4 und IPv6 unterstützen, selbst wenn ihre eigenen Netze vollständig auf IPv6 umgestellt wurden. Infolge dieser hybriden Umgebung sind mehrere Technologien entstanden, die diesen Übergangsprozess unterstützen und die Konnektivität zwischen IPv4- und IPv6-Geräten, -Netzen und -Zielen im Internet ermöglichen. Diese Technologien übersetzen entweder zwischen IPv4- und IPv6-Adressen oder kapseln den Datenverkehr ein, um ihn durch das inkompatible Netzwerk zu leiten. Diese Technologien sind im Folgenden aufgeführt:

TechnologieTypTeilnehmer GerätNetzwerk der DienstanbieterWebziel (Internet)
NAT64/DNS64ÜbersetzungIPv6IPv6IPv4
NAT46ÜbersetzungIPv4IPv4IPv6
MAP-TÜbersetzungIPv4IPv6IPv4
464XLATÜbersetzung
(NAT64 + Client CLAT)
IPv4IPv6IPv4/IPv6
6VerkapselungIPv6IPv4IPv6
DS-LiteVerkapselungIPv4IPv6IPv4
LW4o6VerkapselungIPv4IPv6IPv4
MAP-EVerkapselungIPv4IPv6IPv4

 

Mobilfunknetzbetreiber kombinieren häufig Carrier Grade NAT (CGNAT) mit einer Firewall, um einen starken Schutz sowohl für ihre IPv4- als auch für ihre IPv6-Abonnenten zu gewährleisten. Siehe die Fallstudie "Middle East Telecom Giant Scales out Security with A10 Networks Thunder CFW ".

Migration zu IPv6: NAT64 Beispiel

NAT64 ermöglicht es reinen IPv6-Geräten, auf alte reine IPv4-Dienste zuzugreifen, indem IPv6-Adressen transparent in IPv4-Adressen übersetzt werden und umgekehrt. Doch NAT64 ist nur ein Teil der Lösung, denn auch IPv6-Geräte müssen DNS-Anfragen stellen, um die IP-Adressen anderer Geräte aufzulösen. Die Lösung ist die Verwendung eines DNS64-Servers im internen IPv6-Netz.

NAT64/DNS64 verwendet einen Protokollübersetzungsansatz im Gegensatz zu einem Verkapselungsansatz, um IPv6-Nutzer mit IPv4-Diensten zu verbinden. Dadurch können Daten, die nur über IPv4 verfügbar sind, abgerufen und an einen IPv6-Client zurückgegeben werden.

Ein DNS64-Server nimmt eine IPv6-DNS-Anfrage entgegen und wandelt, falls keine IPv6-Adresse für den Zielhost verfügbar ist, die vorhandene IPv4-Adresse des Zielhosts in eine synthetische IPv6-Adresse um, die die IPv4-Adresse für die DNS-Anfragen des Clients (unter Verwendung von DNS64) einkapselt und IPv4-DNS-Antworten bei Bedarf in IPv6-DNS-Antworten umwandelt.

Der IPv6-Client kann sich dann über das NAT64-Gateway mit der synthetischen IPv6-Adresse verbinden, das die Anfrage in die korrekte IPv4-Adresse umwandelt und, wenn Daten über IPv4 zurückgegeben werden, die Antwort wieder in IPv6 umwandelt. Die IPv6-Clients sehen nichts als IPv6.

Carrier Grade NAT als Lebenszyklus-Strategie

Service Provider müssen eine Strategie für die Netzwerkadressübersetzung implementieren, die sowohl einen kurzfristigen Plan für die Beibehaltung der bestehenden IPv4-Adresszuweisung als auch einen langfristigen Plan für die nahtlose Migration zu einer IPv6-Infrastruktur umfasst. Dies erfordert eine Lösung, die eine robuste Reihe von Carrier Grade Network Address Translation-Funktionen bietet und den gesamten Lebenszyklus des Übergangs von IPv4 zu IPv6 abdeckt.

Das A10-Whitepaper CGNAT Isn't a Capability, It's a Lifecycle Strategy (CGNAT ist keine Fähigkeit, sondern eine Lebenszyklusstrategie) bietet einen Überblick über die verschiedenen Komponenten, die für die Handhabung der IPv4-Erschöpfung und die Bereitstellung einer vollständigen Carrier Grade NAT (CGNAT)-Lösung erforderlich sind. Der Implementierungsleitfaden A10 Networks enthält auch Konfigurationsdetails zu den verschiedenen Konfigurationsoptionen für großflächiges NAT.

Zusammenfassung

CGNAT oder LSN werden seit vielen Jahren erfolgreich in großen Netzwerken von Dienstleistern, Unternehmen und Hochschulen eingesetzt. Kombiniert mit den zuvor identifizierten IPv6-Migrationstechnologien in einer robusten CGN-Lösung, wie sie von A10 Networks angeboten wird, bietet Carrier Grade NAT (CGNAT) eine bewährte Methode zur Nutzung vorhandener Investitionen in IPv4 bei gleichzeitiger Bereitstellung eines nahtlosen Migrationspfads zu IPv6 für Abonnenten und Benutzer. Carrier Grade NAT (CGNAT) umfasst mehrere Funktionen, die die Beschränkungen von Standard-NAT überwinden und es für den Einsatz in großem Maßstab bei Netzbetreibern erfolgreich machen.

Durch die Arbeit der IETF Network Working Group und von CGN-Anbietern wie A10 Networks hat Carrier Grade NAT es Dienstanbietern ermöglicht, ihre knappen öffentlichen IPv4-Adressen auf mehrere und wachsende Abonnenten aufzuteilen und so die Erschöpfung und Erhaltung von IPv4 zu bewältigen und gleichzeitig einen Migrationspfad für IPv6 bereitzustellen. Diese und andere RFCs formalisieren das Verhalten von Carrier Grade NAT (CGNAT) und erleichtern die zukünftige Anwendungsentwicklung:

  • CGN(Entwurf-nishitani-cgn-05)
  • Ein inkrementelles Carrier-Grade NAT (CGN) für den IPv6-Übergang(RFC 6264)
  • Probleme mit der gemeinsamen Nutzung von IP-Adressen(RFC 6269)
  • Dual-Stack-Lite-Breitbandeinsätze nach der IPv4-Erschöpfung(RFC 6333)
  • IANA-reserviertes IPv4-Präfix für gemeinsam genutzten Adressraum(RFC 6598)
  • 464XLAT: Kombination von zustandsabhängiger und zustandsloser Übersetzung(RFC 6877)

Wie A10 Networks helfen kann

A10-Kunden auf der ganzen Welt haben A10 Thunder CGN für CGNAT sowie IPv6-Migrationsfunktionen erfolgreich eingesetzt. Diese Technologie ist in Bare-Metal-, Container-, virtuellen und physischen Formfaktoren verfügbar, um alle Netzwerkeinsatzszenarien in großem Umfang zu erfüllen. So nutzt beispielsweise einer der größten Mobilfunkbetreiber des Landes die CGNAT-Lösung von A10, um die IPv4-Konnektivität für die ständig wachsende Zahl von Mobilfunk- und Smartphone-Nutzern aufrechtzuerhalten. Ein weiterer führender Tier-One-Mobilfunkbetreiber in Südkorea setzt A10 Thunder CFW ein, einschließlich CGNAT als Teil seiner 5G-Einführung.

Die Lösungen von A10 Thunder CGN bieten eine funktionsreiche Carrier Grade NAT (CGNAT)-Lösung, die mit den Industriestandards konform ist und darüber hinaus Verbesserungen für einen vereinfachten Betrieb bietet. Zum Beispiel mit hoher Verfügbarkeit dank aktiver Sitzungssynchronisierungstechnologie (die Fähigkeit mehrerer Appliances, Sitzungen zu verfolgen, so dass im Falle eines DDoS-Angriffs oder eines Serviceausfalls ein Failover auf eine weniger stark frequentierte Route erfolgen kann).

A10 Thunder CGN bietet eine vollständige Carrier-Grade-NAT-Lösung mit überragender Verarbeitungsleistung und ist dabei extrem kosteneffizient (in der Regel 10- bis 100-mal niedrigere Kosten pro Teilnehmer im Vergleich zu herkömmlichen Netzwerkanbietern). Eine einzige A10-Hardware-Appliance bietet mehr Leistung als mehrere sehr teure gehäusebasierte Verarbeitungskarten, die Teil der NAT-Lösungen großer Netzwerkanbieter sind.

Zu den Standardfunktionen der Lösung A10 Networks Thunder CGN gehören:

  • Subscriber Awareness - Eine vollständige Carrier Grade NAT-Lösung für diesen Markt bietet Einblick in die Datenströme bis hinunter zur Ebene der einzelnen Netzteilnehmer, um deren Dienste zu verwalten und zu verfolgen
  • Hohe Transparenz - A10 Thunder CGN implementiert mehrere Funktionen, um eine nahtlose Benutzererfahrung in einer NAT-Umgebung zu gewährleisten. Diese Funktionen bieten eine transparente Client-Zugriffsumgebung auf externe Ressourcen und stellen so sicher, dass sowohl Client-Server- als auch Peer-to-Peer-Anwendungen weiterhin wie vorgesehen funktionieren:
    • Endpunktunabhängiges Mapping (EIM)
    • Endpunktabhängige Filterung (EIF), Adresspooling, Hairpinning und Port Preservation.
  • Fairness und gemeinsame Ressourcennutzung - Der A10 Thunder CGN bietet sowohl auf Sitzungs- als auch auf Benutzerebene Limits, um die Menge der zugewiesenen Ressourcen zu kontrollieren. Dadurch wird sichergestellt, dass die Ressourcen entsprechend den Anforderungen des Dienstanbieters gerecht auf die Nutzer verteilt werden.
  • Verwaltung der Größe von Protokolldateien - Die Implementierung von A10 Thunder CGN bietet viele Protokollierungstechniken, um sowohl die Anzahl der Protokolleinträge als auch deren Größe zu begrenzen

Mehr Funktionen und mehr Leistung bedeuten, dass sich die A10 Thunder CGN Lösung in jedes wachsende Netzwerk einfügen und anpassen kann. A10 Geräte können in Clustern zusammengefasst werden und kombinieren so Verarbeitungsleistung mit einfacher Verwaltung. Erfahren Sie mehr über die A10 Thunder® Carrier Grade Networking (CGN)-Lösung für den Erhalt von IPv4 und die Migration zu IPv6.

< Zurück zu Glossar der Begriffe