NAT u operatora

W obliczu wyczerpanych zasobów adresacji publicznej IPv4, coraz częściej NAT stosowany jest u operatorów. W rzeczywistości funkcjonalnie jest on bardzo podobny do NAT realizowanego w prostych bramkach, ale inna jest skala problemów oraz potrzeby wydajnościowe. U klientów stosuje się CPE NAT, który jest realizowany na brzegu sieci, gdzie następuje połączenie z operatorem. Translacja jest przeprowadzana pomiędzy prywatną adresacją IPv4 w sieci klienta oraz jednym lub kilkoma adresami publicznymi od strony operatora. NAT pojawia się u operatorów w postaci mechanizmu CGN (Carrier Grade NAT) lub LSN (Large Scale NAT). Mechanizm CGN ma miejsce, gdy operator przydziela prywatną adresację IPv4 zgodną z RFC 1918 dla klientów. W rzeczywistości nie ma większej różnicy pomiędzy CGN oraz innymi formami NAT poza nazwą. Różnica jest wyłącznie na etapie umiejscowienia mechanizmu po stronie operatora oraz urządzenia realizującego funkcjonalność. W przypadku CGN jest to przeważnie router klasy operatorskiej.

Niezależnie od zastosowanej terminologii, warto wiedzieć o istotnym szczególnym przypadku zastosowania tej technologii. Jeżeli operator przydzieli klientom adresację zgodną z RFC 1918, a użytkownik po stronie własnej sieci wykorzysta także prywatną adresację, mamy do czynienia z podwójnym NAT. Czasami taki NAT określny jest mianem hierarchicznego. Użytkownik w takiej sytuacji musi przejść przez dwa urządzenia realizujące funkcje NAT. Może to powodować problemy w pracy niektórych aplikacji.

Zawsze kwestią doświadczalną będzie określenie przez operatora liczby adresów publicznych niezbędnych do obsłużenia określonej liczby adresów prywatnych. Im mniejszy poziom nadsubskrypcji adresacji, tym z punktu widzenia użytkownika lepiej. CGN w najprostszej postaci robi za multiplekser adresów z wielu wewnętrznych urządzeń na określoną pulę zewnętrznych adresów publicznych. Oczywiście pojawią się także problemy z dostępnością serwerów wewnątrz takiej sieci, a operator nie zawsze chętnie będzie dokonywał operacji przekierowania portów dla każdego indywidualnego klienta. Potrzebne będą mechanizmy automatyzujące ten proces.

Jeżeli operator centralnie zrealizuje NAT z publicznymi adresami IPv4, każdy z adresów nie będzie reprezentował pojedynczego komputera, domu czy firmy. Adres IPv4 będzie wskazywał na setki lub tysiące maszyn, domów, biur, które będą ukryte za tym samym mechanizmem NAT. Operator powinien więc wdrożyć mechanizmy w postaci logowania, pozwalające na bezbłędną identyfikację użytkowników wewnątrz sieci na podstawie danych czasowych oraz parametrów połączeń.

Droga do IPv6

NAT jest technologią, która może zostać wykorzystana w procesie migracji IPv4 do IPv6. Istnieje kilka mechanizmów, które są pomocne w tym zakresie działania.

NAT464 wprowadza rozwiązanie, w którym łącze pomiędzy dostawcą a klientem jest realizowane w technologii IPv6. Urządzenie klienta od strony sieci wewnętrznej wspiera adresację IPv4, natomiast od strony sieci zewnętrznej adresację IPv6. W urządzeniu klienta CPE musi więc zachodzić proces tłumaczenia IPv4 na IPv6, czyli mechanizm NAT46. Z kolei urządzenie operatora powinno wspierać technologię NAT 64, w celu zamiany adresacji IPv6 na adresację IPv4, bezpośrednio komunikującą się z siecią globalną. Jeżeli połączymy oba wskazane elementy w jedną całość, mamy do czynienia z nazwą NAT464. Taka konfiguracja umożliwia w przyszłości pozbycie się urządzenia NAT64 u operatora i wykorzystanie wyłącznie sieci IPv6. Problemem jest fakt, że istnieje stosunkowo niewiele urządzeń CPE, które potrafią zrealizować funkcjonalność NAT64. Dodatkowo konieczna będzie wymiana tych urządzeń. Translacja NAT 64 jest bardziej skomplikowana niż translacja NAT44, więc trudno powiedzieć, czy kiedykolwiek będzie tak efektywna jak NAT44.

W procesie migracji do IPv6, mechanizm NAT ma także swoje miejsce w technologii DualStack. W tej technologii urządzenie CPE czy komputer klienta ma przypisane dwa adresy IP – IPv4 oraz IPv6. Nie wszystkie zasoby są osiągalne za pomocą adresacji IPv6. Jeżeli dany zasób wykorzystuje wyłącznie adresację IPv4, wówczas CPE komunikuje się z nim poprzez IPv4, który jest dodatkowo poddawany mechanizmowi NAT44 na urządzeniu operatora.