הגדרה
Carrier-grade NAT — נקרא גם NAT בקנה מידה גדול (LSN) או NAT444 — הוא ארכיטקטורת שיתוף כתובות IP המוגדרת ב-IETF RFC 6598 (פורסם באפריל 2012) המאפשרת לספק שירותי אינטרנט או ספק סלולר לשרת מספרים גדולים של מנויים תוך שימוש במאגר קטן יותר של כתובות IPv4 ציבוריות ממה שהיה נדרש אם כל מנוי היה מקבל כתובת ייעודית משלו. המונח “בדרגת ספק” מבדיל את קנה המידה של הפריסה הזו מ-NAT ברמת הבית המבוצע על ידי נתב ביתי: CGNAT פועל על תשתית של ספק ועשוי לתרגם תעבורה עבור עשרות אלפי מנויים בו זמנית דרך כתובת IP ציבורית אחת.
CGNAT צמח כתגובה למיצוי מרחב הכתובות של IPv4. רשות הספרות שהוקצו על ידי האינטרנט (IANA) הקצתה את הבלוקים האחרונים של כתובות IPv4 לרישומי אינטרנט אזוריים בפברואר 2011. ספקי סלולר, שהיה להם בסיס מנויים מתרחב במהירות, התמודדו עם הבחירה של פריסת IPv6 — שפותר את בעיית מיצוי הכתובות לצמיתות — או יישום CGNAT כדי להאריך את חיי התפעול של תשתית IPv4. רוב הספקים פרסו את שניהם.
כיצד CGNAT פועל
בפריסת CGNAT, מכשיר של מנוי מקבל כתובת IP פרטית ממרחב כתובות משותפות RFC 6598 — בלוק 100.64.0.0/10 שנשמר ספציפית לשימוש CGNAT — או מטווח פרטי קונבנציונלי של RFC 1918 (10.0.0.0/8, 172.16.0.0/12 או 192.168.0.0/16). זוהי כתובת המנוי בתוך הרשת הפנימית של הספק.
כאשר המנוי מתחיל חיבור אינטרנט יוצא, התעבורה עוברת דרך ציוד CGNAT של הספק — בדרך כלל פלטפורמות נתבים גדולות מספקים כולל Cisco, Juniper ו-A10 Networks. מכשיר ה-CGNAT מתרגם את כתובת המקור הפרטית לאחת מכתובות ה-IPv4 הציבוריות של הספק ומקצה פורט מקור דינמי כדי להבחין בין החיבור של המנוי הזה לחיבורים בו-זמניים אחרים החולקים את אותה IP ציבורית. טכניקה זו נקראת תרגום כתובת פורט (PAT) או תרגום פורט כתובת רשת (NAPT).
שרת היעד — אתר תחרות, למשל — מקבל חבילה עם IP מקור השייך לספק ופורט מקור שהוקצה על ידי מכשיר ה-CGNAT. אין לו אמצעים לקבוע את הכתובת הפרטית של המנוי או את זהותו מהמידע הזה לבד. כל המנויים החולקים את אותה IP יציאה של CGNAT אינם ניתנים להבחנה בשכבת ה-IP מנקודת מבט של היעד.
כאשר הסשן מסתיים, מכשיר ה-CGNAT מאחזר את הקצאת הפורט ועשוי להקצות מחדש את אותו שילוב של IP ציבורי ופורט למנוי אחר תוך דקות. שימוש חוזר בכתובת זה אומר ששני מנויים שונים לחלוטין יכולים להופיע כמגיעים מאותה כתובת IP בזמנים שונים באותו יום — או אפילו באותה שעה.
RFC 6264 מתעד את ההשלכות של גישות מעבר IPv4-ל-IPv6 בקנה מידה גדול, שמהן CGNAT הוא מרכיב אחד. כוח המשימה ההנדסי של האינטרנט (IETF) פרסם מסמכי הנחיה מרובים על שיקולי תפעול CGNAT לספקי שירות.
היכן תיתקלו בו
CGNAT נפוץ ברשתות ספקי סלולר ברחבי העולם. T-Mobile, AT&T, Vodafone, Orange, Jio ולמעשה כל הספקים הגדולים משתמשים ב-CGNAT לתעבורת מנויים IPv4. ספקי שירותי אינטרנט קווי באזורים עם מחסור חמור ב-IPv4 — כולל חלקים מאסיה-פסיפיק ואפריקה שמדרום לסהרה — פורסים CGNAT גם על חיבורי פס רחב.
בסביבות תחרות מקוונות, CGNAT יוצר מתח בסיסי עם הסרת כפילויות הצבעה מבוססת IP. מדיניות תמימה של הצבעה אחת לכל IP בתחרות שבה רוב ההשתתפות מגיעה ממכשירים ניידים תמנע באופן שגוי ממצביעים לגיטימיים מרובים שבמקרה חולקים אותה כתובת יציאה של CGNAT להטיל קולות. לעומת זאת, גורם רע ברשת CGNAT יכול תיאורטית להגיש הצבעות מכתובות IP פרטיות רבות שכולן נראות כאותה IP ציבורית, כשפלטפורמת התחרות אינה יכולה להבחין בינן לבין מצביע יחיד.
דוגמאות מעשיות
תחרות הצבעה לצדקה המכוונת לקהלים בהודו — שבה Jio Platforms מספקת מאות מיליוני מנויים — מבחינה שכתובות IP מסוימות מופיעות כל אחת באלפי הגשות הצבעה במהלך חלון התחרות. חקירה טכנית חושפת שאלה כתובות יציאה של CGNAT לרשת 4G של Jio. צוות ניתוח ההונאה של הפלטפורמה קובע שנתוני עוגיות ונתוני סשן מראים מופעי דפדפן מובחנים מאחורי כל הגשה, העקבי עם השתתפות אותנטית ממנויים מרובים. אות הריכוז של IP שבדרך כלל יסמן הונאה מיוחס נכון ל-CGNAT ולא למניפולציה של הצבעות.
פלטפורמת תחרות בבריטניה מקבלת תלונת התעללות ממתחרה הטוען שהפלטפורמה חוסמת הצבעות לגיטימיות מתומכיו. החקירה חושפת שכל התומכים נמצאים על אותה רשת CGNAT של ספק סלולר, ומגביל הקצב של הפלטפורמה החיל מגבלת הצבעה ל-IP שמשפיעה על כל המנויים החולקים את ה-IP יציאה של הספק. הפלטפורמה מתאימה את הלוגיקה שלה להשתמש בהסרת כפילויות מבוססת עוגיות כבקרה ראשית עבור סשנים שבהם המיקום הגיאוגרפי של ה-IP מצביע על רשת ספק סלולר.
צוות מחקר אוניברסיטאי החוקר הונאה בהצבעה מקוונת משתמש בטווחי כתובות RFC 6598 כמסווג בתהליך תיוג מערך הנתונים שלהם, מפריד בין הצבעות ממקור CGNAT להצבעות מ-IP אותנטיות וייחודיות לפני אימון מודל זיהוי החריגות שלהם. ההפרדה משפרת את דיוק המודל על ידי מניעת תיוג שגוי של דפוס הריכוז של CGNAT כהתנהגות הונאה בנתוני האימון.
מושגים קשורים
IP ספק סלולר מתאר את המאפיינים הפונים למנוי של כתובות IP של רשת סלולר, שמהן CGNAT הוא מנגנון שיתוף הכתובות הבסיסי. IP ביתי מקיף הן כתובות קוויות והן ניידות בניגוד ל-IPs של מרכז נתונים, אך CGNAT הוא מאפיין מבחין של תת-קבוצת המובייל. הגבלת קצב היא בקרת התחרות המושפעת ביותר ישירות מ-CGNAT: מגבלות קצב לכל IP חייבות להתחשב בסביבות כתובת משותפת כדי להימנע מחסימה שגויה של מצביעים לגיטימיים.
מגבלות / אזהרות
הפריסה הנפוצה של CGNAT אומרת שכתובות IP לבדן הן בסיס לא אמין להסרת כפילויות הצבעה בכל תחרות המכוונת לקהל סלולרי משמעותי. אימוץ IPv6 פותר חלקית את הבעיה הזו — IPv6 מקצה בדרך כלל כתובת גלובלית ייחודית לכל מכשיר — אך IPv4 CGNAT יישאר גורם משמעותי בתעבורת תחרות כל עוד IPv4 נשאר הפרוטוקול הדומיננטי לגישת אינטרנט צרכנית. מתכנני פלטפורמה צריכים להתייחס ל-IP כאחד ממספר אותות הסרת כפילויות ולא כמזהה מצביע מוחלט.
