Definisi
Carrier-grade NAT — disebut juga large-scale NAT (LSN) atau NAT444 — adalah arsitektur berbagi alamat IP yang didefinisikan dalam IETF RFC 6598 (diterbitkan April 2012) yang memungkinkan penyedia layanan internet atau operator seluler melayani pelanggan dalam jumlah besar menggunakan kumpulan alamat IPv4 publik yang jauh lebih kecil daripada yang diperlukan jika setiap pelanggan menerima alamat khusus mereka sendiri. Istilah “carrier-grade” membedakan skala penerapan ini dari NAT pada level rumah tangga yang dilakukan oleh router rumah: CGNAT beroperasi pada infrastruktur operator dan dapat menerjemahkan traffic untuk puluhan ribu pelanggan simultan melalui satu alamat IP publik.
CGNAT muncul sebagai respons terhadap habisnya ruang alamat IPv4. Internet Assigned Numbers Authority (IANA) mengalokasikan blok terakhir alamat IPv4 ke Regional Internet Registries pada Februari 2011. Operator seluler, dengan basis pelanggan yang berkembang pesat, dihadapkan pada pilihan menerapkan IPv6 — yang memecahkan masalah habisnya alamat secara permanen — atau mengimplementasikan CGNAT untuk memperpanjang masa pakai operasional infrastruktur IPv4. Sebagian besar operator menerapkan keduanya.
Cara Kerja CGNAT
Dalam penerapan CGNAT, perangkat pelanggan menerima alamat IP privat dari ruang alamat bersama RFC 6598 — blok 100.64.0.0/10 yang secara khusus disediakan untuk penggunaan CGNAT — atau dari rentang privat RFC 1918 konvensional (10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16). Inilah alamat pelanggan di dalam jaringan internal operator.
Ketika pelanggan memulai koneksi internet ke luar, traffic melewati peralatan CGNAT operator — biasanya platform router besar dari vendor seperti Cisco, Juniper, dan A10 Networks. Perangkat CGNAT menerjemahkan alamat sumber privat menjadi salah satu alamat IPv4 publik milik operator dan menetapkan port sumber dinamis untuk membedakan koneksi pelanggan ini dari koneksi simultan lain yang berbagi IP publik yang sama. Teknik ini disebut port address translation (PAT) atau network address port translation (NAPT).
Server tujuan — sebuah situs kontes, misalnya — menerima paket dengan alamat IP sumber milik operator dan port sumber yang ditetapkan oleh perangkat CGNAT. Server tidak memiliki cara untuk menentukan alamat privat atau identitas pelanggan dari informasi ini saja. Semua pelanggan yang berbagi IP keluar CGNAT yang sama tidak dapat dibedakan pada lapisan IP dari sudut pandang tujuan.
Ketika sesi berakhir, perangkat CGNAT mengambil kembali penetapan port dan dapat menetapkan ulang kombinasi IP publik dan port yang sama ke pelanggan berbeda dalam hitungan menit. Penggunaan ulang alamat ini berarti dua pelanggan yang sama sekali berbeda dapat tampak datang dari alamat IP yang sama pada waktu yang berbeda dalam satu hari — atau bahkan dalam satu jam yang sama.
RFC 6264 mendokumentasikan implikasi pendekatan transisi IPv4-ke-IPv6 skala besar, dan CGNAT adalah salah satu komponennya. Internet Engineering Task Force (IETF) telah mempublikasikan beberapa dokumen panduan tentang pertimbangan operasional CGNAT untuk penyedia layanan.
Di Mana Anda Menemuinya
CGNAT tersebar luas di jaringan operator seluler di seluruh dunia. T-Mobile, AT&T, Vodafone, Orange, Jio, dan praktis semua operator besar menggunakan CGNAT untuk traffic pelanggan IPv4. ISP fixed-line di wilayah dengan kelangkaan IPv4 yang parah — termasuk sebagian Asia-Pasifik dan Afrika sub-Sahara — juga menerapkan CGNAT pada koneksi broadband.
Dalam lingkungan kontes online, CGNAT menciptakan ketegangan mendasar dengan deduplikasi vote berbasis IP. Kebijakan naif satu vote per IP pada kontes di mana sebagian besar partisipasi datang dari perangkat seluler akan keliru mencegah beberapa pemilih sah yang kebetulan berbagi alamat keluar CGNAT mengirimkan vote. Sebaliknya, pelaku jahat di jaringan CGNAT secara teoritis dapat mengirim vote dari banyak alamat IP privat yang semuanya tampak sebagai IP publik yang sama, dengan platform kontes tidak mampu membedakannya dari satu pemilih.
Contoh Praktis
Sebuah kompetisi vote amal yang menargetkan audiens di India — di mana Jio Platforms melayani ratusan juta pelanggan — mengamati bahwa alamat IP tertentu masing-masing muncul pada ribuan submisi vote selama jendela kontes. Investigasi teknis mengungkap bahwa ini adalah alamat keluar CGNAT untuk jaringan 4G Jio. Tim analisis penipuan platform menentukan bahwa data cookie dan sesi menunjukkan instans browser yang berbeda di balik setiap submisi, konsisten dengan partisipasi asli dari banyak pelanggan. Sinyal klusterisasi IP yang biasanya menunjukkan penipuan dengan benar diatribusikan ke CGNAT alih-alih manipulasi vote.
Sebuah platform kontes di Britania Raya menerima keluhan penyalahgunaan dari peserta yang mengeklaim platform memblokir vote sah dari pendukungnya. Investigasi mengungkap bahwa para pendukung tersebut semuanya berada di jaringan CGNAT operator seluler yang sama, dan rate limiter platform telah menerapkan batas vote per IP yang memengaruhi semua pelanggan yang berbagi IP keluar operator. Platform menyesuaikan logikanya untuk menggunakan deduplikasi berbasis cookie sebagai kontrol utama untuk sesi di mana geolokasi IP menunjukkan jaringan operator seluler.
Tim riset universitas yang mempelajari penipuan voting online menggunakan rentang alamat RFC 6598 sebagai classifier dalam proses pelabelan dataset mereka, memisahkan vote berasal CGNAT dari vote yang benar-benar memiliki IP unik sebelum melatih model deteksi anomali mereka. Pemisahan ini meningkatkan akurasi model dengan mencegah pola klusterisasi CGNAT salah dilabeli sebagai perilaku menipu dalam data pelatihan.
Konsep Terkait
Mobile carrier IP menggambarkan karakteristik yang dihadapi pelanggan dari alamat IP jaringan seluler, dan CGNAT adalah mekanisme berbagi alamat yang mendasarinya. Residential IP mencakup alamat fixed-line dan seluler sebagai lawan dari IP datacenter, tetapi CGNAT adalah karakteristik pembeda dari subset seluler. Rate limiting adalah kontrol kontes yang paling langsung terdampak CGNAT: batas laju per IP harus memperhitungkan lingkungan alamat bersama untuk menghindari pemblokiran pemilih sah secara keliru.
Keterbatasan / Catatan
Penerapan CGNAT yang luas berarti alamat IP saja merupakan dasar yang tidak andal untuk deduplikasi vote dalam kontes apa pun yang menargetkan audiens seluler dalam jumlah signifikan. Adopsi IPv6 memecahkan sebagian masalah ini — IPv6 biasanya menetapkan alamat global unik untuk setiap perangkat — tetapi CGNAT IPv4 akan tetap menjadi faktor signifikan dalam traffic kontes selama IPv4 tetap menjadi protokol dominan untuk akses internet konsumen. Perancang platform sebaiknya memperlakukan IP sebagai salah satu dari beberapa sinyal deduplikasi alih-alih sebagai pengidentifikasi pemilih definitif.
