Carrier-grade NAT

aus Wikipedia, der freien Enzyklopädie
Carrier Grade NAT.

Carrier-grade NAT (CGN; deutsch NAT auf Betreiber-Ebene), auch bekannt als large-scale NAT (LSN) ist ein Entwurf für ein IPv4-Netzwerkdesign, welches Endstellen (meistens private Netzwerke) mit speziellen privaten IPv4-Adressen ausstattet, um diese dann über ein NAT-Verfahren auf Betreiber-Ebene in öffentliche IPv4-Adressen zu übersetzen. Dies soll einen Pool von wenigen IP-Adressen für viele Endnutzer nutzbar machen.

Beschreibung

Carrier-grade NAT wurde nach RFC 6264 als eine Übergangslösung entwickelt, um IPv4-Adressen vor der Einführung von IPv6 effizienter ausnutzen zu können.

Kritisiert wurde an diesem Vorgehen vor allem folgendes:

  • Wie jede Art von NAT bricht es mit dem Prinzip der direkten Kommunikation ohne Unterbrechung[1]
  • Es hat signifikante Sicherheits-, Skalierungs- und Zuverlässigkeitsprobleme
  • Ermittlungen und Aufzeichnungen von Strafverfolgungsbehörden werden erschwert
  • Es ist in der Regel unmöglich, von einem Anschluss hinter einem CGN einen unter einer IPv4-Adresse erreichbaren Dienst anzubieten
  • Es löst nicht das Problem, wenn ein Provider routbare IP-Adressen benötigt (beispielsweise im Hosting- und Housing-Bereich)

Ein Anwendungsszenario kann als NAT444[2] bezeichnet werden, da die Kundenverbindung zum Server im Internet drei verschiedene IPv4-Netze durchquert (jeweils getrennt durch ein NAT): das eigene Heimnetzwerk, das private Netzwerk des Internetanbieters und das öffentliche Internet.

Ein anderes CGN-Szenario ist Dual-Stack Lite, bei welchem das Providernetz auf IPv6 basiert und nur zwei verschiedene IPv4-Netze durchquert werden (auch via NAT).

Adressbereich

Wenn ein ISP CGN benutzen möchte und hierfür die herkömmlichen privaten IPv4-Adressbereiche nach RFC 1918 benutzt, so besteht die Gefahr, dass Kunden diesen Bereich ebenfalls benutzen und die Kundenrouter keine Pakete mehr vermitteln, da der Adressbereich auf beiden Seiten gleich ist.

Dies führte dazu, dass mehrere Provider an die ARIN (IP-Adressvergabestelle für Nordamerika) herantraten und um Vergabe von neuen privaten IP-Adressen baten (explizit für CGN). ARIN verwies hierbei auf die IETF, bevor via RFC 2860 festgelegt wurde, dass dies keine typische Adressvergabe, sondern eine Reservierung aus technischen Gründen ist.

Die IETF beschrieb hierauf in RFC 6598 einen gemeinsam genutzten Adressraum für die Nutzung in CGNs und NAT-Routern. ARIN gab im Jahr 2012 den für die Vergabe benötigten IPv4-Adressraum an die IANA zurück.[3] Diese blockte nun den Adressraum 100.64.0.0/10.[4]

Folgen

  • Geräte bzw. Software, die herauszufinden versuchen, ob eine IPv4-Adresse öffentlich oder privat ist, müssen nun aktualisiert werden, um diesen neuen Adressbereich zu erkennen.
  • Die Vergabe von weiteren privaten IPv4-Adressbereichen für NAT-Übersetzungen nimmt den Druck des ständig kleiner werdenden IPv4-Adresspools von den Internetprovidern und verzögert somit die IPv6-Umstellung.

Siehe auch

Einzelnachweise

Weblinks