Definicja
Carrier-grade NAT — zwany też large-scale NAT (LSN) lub NAT444 — to architektura współdzielenia adresów IP zdefiniowana w IETF RFC 6598 (opublikowanym w kwietniu 2012 roku), która pozwala dostawcy usług internetowych lub operatorowi komórkowemu obsługiwać dużą liczbę abonentów przy użyciu znacznie mniejszej puli publicznych adresów IPv4 niż byłoby to wymagane, gdyby każdy abonent otrzymywał własny dedykowany adres. Termin „carrier-grade” odróżnia tę skalę wdrożenia od translacji adresów na poziomie gospodarstwa domowego wykonywanej przez router domowy: CGNAT działa na infrastrukturze operatora i może translować ruch dla dziesiątek tysięcy jednoczesnych abonentów przez pojedynczy publiczny adres IP.
CGNAT wyłonił się jako odpowiedź na wyczerpanie przestrzeni adresów IPv4. Internet Assigned Numbers Authority (IANA) przydzielił ostatnie bloki adresów IPv4 regionalnym rejestrom internetowym w lutym 2011 roku. Operatorzy komórkowi, których baza abonencka szybko się rozszerzała, stanęli przed wyborem wdrożenia IPv6 — który trwale rozwiązuje problem wyczerpania adresów — albo implementacji CGNAT, aby przedłużyć żywotność operacyjną infrastruktury IPv4. Większość operatorów wdrożyła obie opcje.
Jak działa CGNAT
We wdrożeniu CGNAT urządzenie abonenta otrzymuje prywatny adres IP z przestrzeni adresów współdzielonych RFC 6598 — bloku 100.64.0.0/10 specjalnie zarezerwowanego do użytku CGNAT — lub z konwencjonalnego prywatnego zakresu RFC 1918 (10.0.0.0/8, 172.16.0.0/12 lub 192.168.0.0/16). To jest adres abonenta wewnątrz wewnętrznej sieci operatora.
Gdy abonent inicjuje wychodzące połączenie internetowe, ruch przechodzi przez sprzęt CGNAT operatora — zwykle duże platformy routerowe od dostawców takich jak Cisco, Juniper i A10 Networks. Urządzenie CGNAT translacjonuje prywatny adres źródłowy do jednego z publicznych adresów IPv4 operatora i przypisuje dynamiczny port źródłowy, aby odróżnić to połączenie abonenta od innych jednoczesnych połączeń współdzielących ten sam publiczny IP. Technika ta nazywana jest port address translation (PAT) lub network address port translation (NAPT).
Serwer docelowy — na przykład strona konkursowa — otrzymuje pakiet z adresem IP źródłowym należącym do operatora i portem źródłowym przypisanym przez urządzenie CGNAT. Nie ma żadnego sposobu, aby na podstawie samych tych informacji ustalić prywatny adres lub tożsamość abonenta. Wszyscy abonenci współdzielący ten sam wyjściowy IP CGNAT są nieodróżnialni na warstwie IP z perspektywy odbiorcy.
Gdy sesja się kończy, urządzenie CGNAT odzyskuje przypisanie portu i może w ciągu kilku minut ponownie przypisać tę samą kombinację publicznego IP i portu innemu abonentowi. To ponowne wykorzystanie adresu oznacza, że dwóch zupełnie różnych abonentów może wydawać się pochodzić z tego samego adresu IP w różnych momentach tego samego dnia — a nawet tej samej godziny.
RFC 6264 dokumentuje implikacje wielkoskalowych podejść przejściowych z IPv4 na IPv6, których CGNAT jest jednym z komponentów. Internet Engineering Task Force (IETF) opublikował wiele dokumentów wytycznych dotyczących operacyjnych aspektów CGNAT dla dostawców usług.
Gdzie się z tym spotkasz
CGNAT jest wszechobecny w sieciach operatorów komórkowych na całym świecie. T-Mobile, AT&T, Vodafone, Orange, Jio i praktycznie wszyscy główni operatorzy używają CGNAT dla ruchu abonentów IPv4. Stacjonarni dostawcy ISP w regionach o poważnym niedoborze IPv4 — w tym części Azji-Pacyfiku i Afryki Subsaharyjskiej — również wdrażają CGNAT na łączach szerokopasmowych.
W środowiskach konkursów online CGNAT tworzy fundamentalne napięcie z deduplikacją głosów opartą na IP. Naiwna polityka jednego głosu na IP w konkursie, w którym większość uczestnictwa pochodzi z urządzeń mobilnych, błędnie uniemożliwi wielu prawdziwym wyborcom, którzy akurat współdzielą wyjściowy adres CGNAT, oddania głosów. I odwrotnie, zły aktor w sieci CGNAT mógłby teoretycznie przesłać głosy z wielu prywatnych adresów IP, które wszystkie pojawiają się jako ten sam publiczny IP, a platforma konkursowa nie byłaby w stanie odróżnić ich od jednego wyborcy.
Praktyczne przykłady
Charytatywny konkurs głosowania kierowany do publiczności w Indiach — gdzie Jio Platforms obsługuje setki milionów abonentów — zauważa, że pewne adresy IP pojawiają się każdy na tysiącach przesłań głosów podczas okna konkursu. Dochodzenie techniczne wykazuje, że są to wyjściowe adresy CGNAT dla sieci 4G Jio. Zespół analizy oszustw platformy ustala, że dane cookie i sesji wskazują na różne instancje przeglądarki za każdym przesłaniem, zgodne z prawdziwym uczestnictwem wielu abonentów. Sygnał klastrowania IP, który normalnie wskazywałby na oszustwo, jest poprawnie przypisywany do CGNAT, a nie do manipulacji głosami.
Platforma konkursowa w Wielkiej Brytanii otrzymuje skargę nadużycia od zawodnika, który twierdzi, że platforma blokuje prawdziwe głosy od jego zwolenników. Dochodzenie wykazuje, że zwolennicy są wszyscy w tej samej sieci CGNAT operatora komórkowego, a ogranicznik tempa platformy zastosował limit głosów na IP, który wpływa na wszystkich abonentów współdzielących wyjściowy IP operatora. Platforma dostosowuje swoją logikę, aby używać deduplikacji opartej na cookies jako głównej kontroli dla sesji, w których geolokalizacja IP wskazuje sieć operatora komórkowego.
Zespół badawczy uniwersytetu badający oszustwa głosowania online używa zakresów adresów RFC 6598 jako klasyfikatora w procesie etykietowania zestawu danych, oddzielając głosy pochodzące z CGNAT od głosów z prawdziwie unikalnym IP przed trenowaniem modelu wykrywania anomalii. To rozdzielenie poprawia dokładność modelu, zapobiegając błędnemu etykietowaniu wzorca klastrowania CGNAT jako oszukańczego zachowania w danych treningowych.
Powiązane pojęcia
IP operatora komórkowego opisuje cechy widoczne dla abonenta adresów IP sieci komórkowych, których CGNAT jest mechanizmem leżącym u podstaw współdzielenia adresów. IP rezydencjalne obejmuje zarówno adresy stacjonarne, jak i mobilne, w odróżnieniu od IP centrów danych, ale CGNAT jest cechą wyróżniającą podzbioru mobilnego. Ograniczanie tempa jest kontrolą konkursową najbardziej bezpośrednio dotkniętą przez CGNAT: limity tempa na IP muszą uwzględniać środowiska współdzielonych adresów, aby uniknąć błędnego blokowania prawdziwych wyborców.
Ograniczenia / zastrzeżenia
Powszechne wdrożenie CGNAT oznacza, że same adresy IP są niewiarygodną podstawą dla deduplikacji głosów w jakimkolwiek konkursie kierowanym do znaczącej publiczności mobilnej. Adopcja IPv6 częściowo rozwiązuje ten problem — IPv6 zazwyczaj przypisuje unikalny globalny adres każdemu urządzeniu — ale CGNAT IPv4 pozostanie znaczącym czynnikiem w ruchu konkursowym tak długo, jak IPv4 pozostanie dominującym protokołem dla konsumenckiego dostępu do internetu. Projektanci platform powinni traktować IP jako jeden z kilku sygnałów deduplikacji, a nie jako definitywny identyfikator wyborcy.
