Carrier-grade NAT

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Carrier Grade NAT.

Carrier-grade NAT (CGN) (dt: NAT auf Betreiber-Ebene), auch bekannt als large-scale NAT (LSN) ist ein Entwurf für ein IPv4-Netzwerkdesign welches Endstellen (meistens private Netzwerke) mit speziellen privaten IPv4-Adressen ausstattet, um diese dann über ein NAT-Verfahren auf Provider-Ebene in öffentliche IPv4-Adressen zu übersetzen. Dies soll einen Pool von wenigen IP-Adressen für viele Enduser nutzbar machen.

Carrier-grade NAT wurde als eine Übergangslösung entwickelt, um IPv4-Adressen vor der Einführung von IPv6 effizienter ausnutzen zu können[1].

Kritisiert wurde an diesem Vorgehen vor allem folgendes:

  • Wie jede Art von NAT bricht es mit dem Prinzip der direkten Kommunikation ohne Unterbrechung[2]
  • Es hat signifikante Sicherheits-, Skalierungs- und Zuverlässigkeitsprobleme
  • Ermittlungen und Aufzeichnungen von Strafverfolgungsbehörden werden erschwert
  • Es wird unmöglich, einen von einem Anschluss hinter einem CGN, unter einer IPv4-Adresse erreichbaren, Dienst anzubieten
  • Es löst nicht das Problem, wenn ein Provider routbare IP-Adressen benötigt (beispielsweise im Hosting- und Housing-Bereich)

Ein Anwendungsszenario kann als NAT444[3] bezeichnet werden, da die Kundenverbindung zum Server im Internet drei verschiedene IPv4-Netze durchquert (jeweils getrennt durch ein NAT): das eigene Heimnetzwerk, das private Netzwerk des Internetanbieters und das öffentliche Internet.

Ein anderes CGN-Szenario ist Dual-Stack Lite, bei welchem das Providernetz auf IPv6 basiert und nur zwei verschiedene IPv4-Netze durchquert werden (auch via NAT).

Adressbereich[Bearbeiten]

Wenn ein ISP CGN benutzen möchte und hierfür private IPv4-Adressen nach RFC 1918 benutzt, so besteht die Gefahr, dass Kunden diesen Bereich ebenfalls benutzen und die Kundenrouter keine Pakete mehr vermitteln, da der Adressbereich auf beiden Seiten gleich ist.

Dies führte dazu, dass mehrere Provider an die ARIN (IP-Adressvergabestelle für Nordamerika) herantraten und um Vergabe von neuen privaten IP-Adressen baten (explizit für CGN). ARIN verwies hierbei auf die IETF bevor via RFC 2860 festgelegt wurde, dass dies keine typische Adressvergabe sondern eine Reservierung aus technischen Gründen ist.

Die IETF beschrieb hierauf in RFC 6598 einen gemeinsam genutzten Adressraum für die Nutzung in CGN's und NAT-Routern. ARIN gab den für die Vergabe benötigten IPv4-Adressraum an die IANA zurück.[4] Diese blockte nun den Adressraum 100.64.0.0/10.[5]

Folgen[Bearbeiten]

  • Geräte bzw. Software, die versuchen herauszufinden, ob eine IPv4-Adresse öffentlich oder privat ist, müssen nun aktualisiert werden, um diesen neuen Adressbereich zu erkennen.
  • Die Vergabe von weiteren privaten IPv4-Adressbereichen für NAT-Übersetzungen nimmt den Druck des ständig kleiner werdenden IPv4-Adresspools von den Internetprovidern und verzögert somit die IPv6-Umstellung.

Siehe auch[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. "RFC 6264 - An Incremental Carrier-Grade NAT (CGN) for IPv6 Transition"
  2. "Assessing the Impact of NAT444 on Network Applications"
  3. "NAT444 (CGN/LSN) and What it Breaks"
  4. "Re: shared address space... a reality!" Abgerufen am 13. September 2012
  5. "100.64.0.0/10 – Shared Transition Space"

Weblinks[Bearbeiten]