Definition
Carrier-grade NAT — även kallat large-scale NAT (LSN) eller NAT444 — är en arkitektur för IP-adressdelning definierad i IETF RFC 6598 (publicerad i april 2012) som tillåter en internetleverantör eller mobiloperatör att betjäna stora antal abonnenter med en mycket mindre pool av offentliga IPv4-adresser än vad som skulle krävas om varje abonnent fick sin egen dedikerade adress. Termen “carrier-grade” skiljer denna driftsättningsskala från NAT på hushållsnivå som utförs av en hemmaroutere: CGNAT verkar på operatörsinfrastruktur och kan översätta trafik för tiotusentals samtidiga abonnenter genom en enda offentlig IP-adress.
CGNAT uppstod som svar på utmattningen av IPv4-adressutrymmet. Internet Assigned Numbers Authority (IANA) tilldelade de sista blocken av IPv4-adresser till regionala internetregister i februari 2011. Mobiloperatörer, som hade snabbt expanderande abonnentbaser, ställdes inför valet att rulla ut IPv6 — som löser adressutmattningsproblemet permanent — eller att implementera CGNAT för att förlänga den operativa livslängden för IPv4-infrastruktur. De flesta operatörer rullade ut båda.
Hur CGNAT fungerar
I en CGNAT-utrullning får en abonnents enhet en privat IP-adress från RFC 6598:s delade adressutrymme — blocket 100.64.0.0/10 specifikt reserverat för CGNAT-användning — eller från ett konventionellt RFC 1918 privat intervall (10.0.0.0/8, 172.16.0.0/12 eller 192.168.0.0/16). Detta är abonnentens adress inom operatörens interna nätverk.
När abonnenten initierar en utgående internetuppkoppling passerar trafiken genom operatörens CGNAT-utrustning — vanligen stora routerplattformar från leverantörer som Cisco, Juniper och A10 Networks. CGNAT-enheten översätter den privata källadressen till en av operatörens offentliga IPv4-adresser och tilldelar en dynamisk källport för att skilja denna abonnents anslutning från andra samtidiga anslutningar som delar samma offentliga IP. Denna teknik kallas port address translation (PAT) eller network address port translation (NAPT).
Destinationsservern — till exempel en tävlingswebbplats — tar emot ett paket med en käll-IP som tillhör operatören och en källport tilldelad av CGNAT-enheten. Den har inget sätt att fastställa abonnentens privata adress eller identitet enbart från denna information. Alla abonnenter som delar samma CGNAT-utgångs-IP är oskiljbara på IP-lagret från destinationens perspektiv.
När sessionen slutar återtar CGNAT-enheten porttilldelningen och kan tilldela samma offentliga IP- och portkombination till en annan abonnent inom minuter. Denna adressåteranvändning innebär att två helt olika abonnenter kan se ut att komma från samma IP-adress vid olika tider samma dag — eller till och med inom samma timme.
RFC 6264 dokumenterar implikationerna av storskaliga IPv4-till-IPv6-övergångsmetoder, varav CGNAT är en komponent. Internet Engineering Task Force (IETF) har publicerat flera vägledningsdokument om operativa CGNAT-överväganden för tjänsteleverantörer.
Var du stöter på det
CGNAT är genomgående i mobiloperatörsnätverk världen över. T-Mobile, AT&T, Vodafone, Orange, Jio och praktiskt taget alla större operatörer använder CGNAT för IPv4-abonnenttrafik. Fasta ISP:er i regioner med svår IPv4-brist — inklusive delar av Asien-Stillahavsområdet och Afrika söder om Sahara — rullar också ut CGNAT på bredbandsanslutningar.
I online-tävlingsmiljöer skapar CGNAT en grundläggande spänning med IP-baserad röstdeduplicering. En naiv en-röst-per-IP-policy på en tävling där det mesta deltagandet kommer från mobila enheter kommer felaktigt att hindra flera legitima väljare som råkar dela en CGNAT-utgångsadress från att lägga sina röster. Omvänt skulle en illvillig aktör i ett CGNAT-nätverk teoretiskt kunna lämna in röster från många privata IP-adresser som alla framträder som samma offentliga IP, utan att tävlingsplattformen kan skilja dem från en enskild väljare.
Praktiska exempel
En välgörenhetsröstningstävling som riktar sig till publik i Indien — där Jio Platforms betjänar hundratals miljoner abonnenter — observerar att vissa IP-adresser var och en visas på tusentals röstinlämningar under tävlingsfönstret. Teknisk utredning avslöjar att dessa är CGNAT-utgångsadresser för Jios 4G-nätverk. Plattformens bedrägerianalysteam fastställer att cookie- och sessionsdata visar distinkta webbläsarinstanser bakom varje inlämning, vilket är förenligt med äkta deltagande från flera abonnenter. IP-klustringssignalen som normalt skulle indikera bedrägeri tillskrivs korrekt CGNAT snarare än röstmanipulation.
En tävlingsplattform i Storbritannien får ett missbruksklagomål från en tävlande som hävdar att plattformen blockerar legitima röster från sina anhängare. Utredning visar att anhängarna alla finns på samma mobiloperatörs CGNAT-nätverk, och plattformens hastighetsbegränsare har tillämpat en per-IP-röstgräns som påverkar alla abonnenter som delar operatörens utgångs-IP. Plattformen justerar sin logik för att använda cookie-baserad deduplicering som primär kontroll för sessioner där IP-geolokalisering indikerar ett mobiloperatörsnätverk.
Ett universitetsforskarteam som studerar online-röstningsbedrägerier använder RFC 6598-adressintervall som en klassificerare i sin datasetmärkningsprocess och separerar CGNAT-baserade röster från äkta unika-IP-röster innan de tränar sin anomalidetekteringsmodell. Separationen förbättrar modellnoggrannheten genom att förhindra att CGNAT-klustringsmönstret felaktigt märks som bedrägligt beteende i träningsdatan.
Relaterade begrepp
Mobiloperatörs-IP beskriver de abonnentvända egenskaperna hos mobilnätverks-IP-adresser, varav CGNAT är den underliggande adressdelningsmekanismen. Bostads-IP omfattar både fasta och mobila adresser i kontrast till datacenter-IP:er, men CGNAT är en utmärkande egenskap hos den mobila delmängden. Hastighetsbegränsning är den tävlingskontroll som mest direkt påverkas av CGNAT: per-IP-hastighetsgränser måste ta hänsyn till delade-adress-miljöer för att undvika att felaktigt blockera legitima väljare.
Begränsningar / förbehåll
Den utbredda utrullningen av CGNAT innebär att IP-adresser ensamma är en opålitlig grund för röstdeduplicering i alla tävlingar som riktar sig till en betydande mobil publik. IPv6-adoption löser delvis detta problem — IPv6 tilldelar vanligen en unik global adress till varje enhet — men IPv4-CGNAT kommer att förbli en betydande faktor i tävlingstrafik så länge IPv4 förblir det dominerande protokollet för konsumentinternetåtkomst. Plattformsdesigners bör behandla IP som en av flera dedupliceringssignaler snarare än som en definitiv väljaridentifierare.
