大规模NAT能拯救IPv4吗?

日期: 2010-10-10 作者:jdoyle 来源:TechTarget中国

  此前我曾撰文呼吁应及早从IPv4向IPv6过渡,IPv4地址即将枯竭,在全球路由切换到IPv6之前,我们要陷入一个困难的过渡时期,对于大多数公共内容,我们仍然希望使用IPv4可访问,大规模NAT(Large Scale NAT,LSN)或电信级NAT(Carrier Grade NAT,CGN)是过渡期间服务提供商延长公共IPv4地址空间寿命最基本的技术。

  一位年长的IT管理人员告诉我:“如果LSN能延长IPv4地址空间的寿命,那我们为什么还要费心费力地部署IPv6呢?何不部署LSN,IPv6暂缓?时间一晃,也许我就该退休了!”,虽然这个家伙的话有点消极,但LSN的确能延长IPv4地址空间的寿命,但难道这样Internet就不应该过渡到IPv6吗?本文就来解答这些疑问,并列举一些缺点证明LSN只是一个临时的解决办法,转移到IPv6是不可避免的。

  LSN架构概览

  传统的宽带服务供应商只给每个客户网络的NAT外部接口分配一个公共IPv4地址,这样做的目的就是为了节省有限的IPv4地址空间,在NAT后面,所有设备全部分配私有IPv4地址,NAT负责公共IPv4地址和私有IPv4地址之间的映射,一般来说需要结合IPv4地址和TCP或UDP端口号才能确定应用程序或计算机的身份,换句话说就是,NAT要通过映射应用程序数据流,将多个配有私有IPv4地址的设备连接到配有一个外部地址的设备。

  端口是16位数字,因此最多可将65536个TCP和UDP流映射到单个IPv4地址,基本上不会有哪个家庭或小型公司会在同一时间产生这么大的数据流,因此可以应付绝大多数的上网需求。

  LSN是置于服务供应商网络中的一个“集中化NAT”,无论是附加在客户网络边缘的NAT,如NAT444,还是代替客户的NAT,如DS-Lite,LSN概念都是一样的:公共IPv4地址远离客户网络,多个客户网络共享一个公共IPv4地址。

  LSN架构设计的主要内容就是设计每个LSN的战略布局,以及在不使LSN本身超负荷的情况下,设计每个公共IPv4地址的最佳使用容量,按照以往的经验,每个LSN每个公共IPv4地址应该可以支持3000-5000用户。

  你是谁?LSN让网络身份识别难上加难

  从有网络以来,我们就是通过IP地址来识别用户或计算机的,但集中化公共IPv4地址后,每个地址就不能再代表一台机器,一个家庭或一个小型分支机构了,现在一个地址可能会代表数千台计算机,数千个家庭和分支机构,因此要通过IP地址进行身份识别就变得不现实或很困难了。

  长久以来,人们总是认为位于NAT后面的网络很安全,在我看来,这是错误的,除了共享有限的互联网带宽外,给网络管理也带来了前所未有的挑战。

  本是恶作剧,但可能造成意想不到的后果

  我喜欢参加互联网上的一些讨论组,可以学习到不少东西,还可以享受辩论的乐趣,如果你曾经参加过互联网讨论组,特别是讨论有争议的问题,你一定知道有人会故意给讨论会添乱,他们喜欢发表煽动性言论,旨在破坏参与者的思路,这种人喜欢在允许发表公开意见的网站发表所谓的“高论”,主要是吸引对政治和宗教感兴趣的人参与讨论。

  有时这些人因言论过激会被禁言,甚至删除账号,但他们只要用新的Hotmail或Yahoo邮件地址就可以注册新的用户,并继续搞破坏。为了防止这种“惯犯”行为,有些网站会通过禁用IP地址封杀言行不端的用户,这样相当于是禁用了用户的计算机,如果该IP地址恰好地一个家庭或小型分支机构的NAT外部接口,该网络中的其他用户就无辜被禁,这就是NAT的缺点,为了限制某一个用户,或许会让数以千计的用户被牵连。

  如果在LSN网络中有人不怀好意,他可以故意违反某个网站的规定,于是网站管理员会通过封IP实施惩罚,但殊不知这一行为会导致该LSN中的大量用户同样受到影响,从安全的角度讲,这算是一次小规模的拒绝服务攻击,也许网站管理员根本毫不知情。

  黑名单和白名单,必须在NAT两端实施

  不仅网站需要基于IP地址的黑名单用户列表,本地服务商也需要黑名单,当然也需要白名单(绿色通道),黑名单和白名单常用于对付垃圾邮件和病毒控制,但黑名单还可以用于强制实施使用策略。

  在LSN架构中,黑名单和白名单可能需要分开,应用于入站通信的策略必须在LSN的外部接口上得到落实,当数据包转换后,如果没有LSN的映射表,就很难通过IPv4地址进行身份识别了,同样,应用于出站通信的策略必须在LSN面向用户的一侧得到落实。

  合法监听一个人,所有人可能都会被监听

  集中的地址和端口会给合法监听需求带来极大的挑战,DHCP分配给传统NAT网络的IP地址在客户端很少改变,因此在这种情况下要实施合法监听相对比较容易,即便是在NAT444架构下,实施合法监听还是相当容易的,只要在LSN和CPE NAT之间监听即可。

  在DS-Lite架构下,由于采用了IPv6中走IPv4的隧道模式,监听必须在LSN自身上进行,在LSN上必须维护地址和端口的映射的时间戳记录,但这样又会给LSN设备增加沉重的负担,记录到LSN范围之外的存储设备也将有助于减轻LSN网络的负载。

  单一主题的监听可能意味着在单一地址上将用户静态映射到特定范围的端口,因此有些端口可能是为合法监听预留的,但在LSN环境中,所有用户的通信都将被监听。

  反向追踪的资源消耗巨大

  地址和端口映射的时间戳记录不仅可以用于合法监听,还可以用于追踪特殊用户,如垃圾邮件发送者,DoS源,或违反使用策略的偏激用户,如果没有地址和端口映射的时间戳记录,隐藏在LSN背后的行为不端者将会安然无恙。

  但合法监听需要记录一或多个用户,如果要进行精准追踪,可能要对全体用户进行记录,至少要按照一定的采样率进行抽样记录,仅这一项就会造成大量的资源消耗,一个折中的办法是当检测到问题时开启追踪记录,但这需要不端行为持续时间长才行。

  双重NAT问题

  关于NAT444一直都有一个抱怨,它破坏了那些引用了IP地址的应用程序,理想情况下,应用程序应该与网络层无关,因此地址变化不应该对其有任何影响,但事实上,很多应用程序都引用了IP地址,或者说绑定了IP地址,一旦IP发生变化,应用程序很可能出现异常或不可用。

  NAT444的双重NAT结构可能会破坏那些原本可以在单NAT环境下正常运行的应用程序,一些应用程序厂商已经在测试自己的应用程序是否会受NAT444架构的影响。

  DS-Lite避免了NAT444的双重NAT问题,它已成为现今许多宽带运营商的首选方案,但有些LSN供应商只能在他们的路线图上看到DS-Lite的影子,而未正式部署,在DS-Lite基础上部署CPE的就更少了。

  最终结论:LSN只是过渡性技术,IPv6不可替代

  关于LSN还有其它许多值得关注的问题,如单点故障,潜在的地址池资源耗尽攻击,性能和扩展性,数据包碎片的影响,非对称通信流的影响,为满足配置系统需要的修改,为满足内部会计制度需要的修改等。

  因为IPv6已经让我们等待太久了,在IPv4地址面临枯竭的背景下,LSN是不得已而为之的临时解决办法,但LSN的复杂性和它引起的问题注定它不会成为主流,它始终只是一个过渡性技术,IPv6是没有替代品的。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

jdoyle
jdoyle

相关推荐

  • IP地址0.0.0.0能做什么?

    IP地址0.0.0.0是一个不可路由的IPv4地址,具有多种用途,主要作为默认或占位符地址。尽管0.0.0.0在计算机网络上有多种用途,但它不是通用的设备地址……

  • 无视IPv6连接?后果自负!

    如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。

  • IPv6扩展报头:是好是坏?

    IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。

  • 如何避免IPv6“友邻发现”威胁?

    IPv6友邻发现是IPv6协议套件的一个核心部件。如果企业正着手准备部署IPv6,那么一定要了解“友邻发现(ND)”及其漏洞。