Định nghĩa
Carrier-grade NAT — còn gọi là large-scale NAT (LSN) hoặc NAT444 — là một kiến trúc chia sẻ địa chỉ IP được định nghĩa trong IETF RFC 6598 (xuất bản tháng 4 năm 2012) cho phép một nhà cung cấp dịch vụ internet hoặc nhà mạng di động phục vụ số lượng lớn thuê bao bằng cách sử dụng một nhóm địa chỉ IPv4 công cộng nhỏ hơn nhiều so với mức yêu cầu nếu mỗi thuê bao nhận được địa chỉ riêng dành riêng. Thuật ngữ “carrier-grade” phân biệt quy mô triển khai này với NAT cấp gia đình do bộ định tuyến gia đình thực hiện: CGNAT hoạt động trên hạ tầng nhà mạng và có thể dịch lưu lượng cho hàng chục nghìn thuê bao đồng thời thông qua một địa chỉ IP công cộng duy nhất.
CGNAT xuất hiện như một phản ứng đối với việc cạn kiệt không gian địa chỉ IPv4. Cơ quan Cấp phát Số được Internet Đặt tên (IANA) đã phân bổ các khối cuối cùng của địa chỉ IPv4 cho các Đăng ký Internet Khu vực vào tháng 2 năm 2011. Các nhà mạng di động, có cơ sở thuê bao đang mở rộng nhanh chóng, đối mặt với lựa chọn triển khai IPv6 — giải quyết vấn đề cạn kiệt địa chỉ vĩnh viễn — hoặc triển khai CGNAT để mở rộng tuổi thọ vận hành của hạ tầng IPv4. Hầu hết các nhà mạng triển khai cả hai.
CGNAT hoạt động như thế nào
Trong việc triển khai CGNAT, thiết bị của thuê bao nhận được địa chỉ IP riêng từ không gian địa chỉ chia sẻ RFC 6598 — khối 100.64.0.0/10 được dành riêng cụ thể cho việc sử dụng CGNAT — hoặc từ một dải riêng RFC 1918 thông thường (10.0.0.0/8, 172.16.0.0/12 hoặc 192.168.0.0/16). Đây là địa chỉ của thuê bao trong mạng nội bộ của nhà mạng.
Khi thuê bao bắt đầu kết nối internet ra ngoài, lưu lượng đi qua thiết bị CGNAT của nhà mạng — thường là các nền tảng bộ định tuyến lớn từ các nhà cung cấp bao gồm Cisco, Juniper và A10 Networks. Thiết bị CGNAT dịch địa chỉ nguồn riêng thành một trong các địa chỉ IPv4 công cộng của nhà mạng và gán một cổng nguồn động để phân biệt kết nối của thuê bao này với các kết nối đồng thời khác chia sẻ cùng địa chỉ IP công cộng. Kỹ thuật này được gọi là dịch địa chỉ cổng (PAT) hoặc dịch cổng địa chỉ mạng (NAPT).
Máy chủ đích — ví dụ một trang web cuộc thi — nhận được gói có IP nguồn thuộc về nhà mạng và một cổng nguồn được gán bởi thiết bị CGNAT. Nó không có cách nào để xác định địa chỉ riêng hoặc danh tính của thuê bao chỉ từ thông tin này. Tất cả các thuê bao chia sẻ cùng IP đầu ra CGNAT là không thể phân biệt được ở lớp IP từ góc nhìn của đích.
Khi phiên kết thúc, thiết bị CGNAT lấy lại việc gán cổng và có thể gán lại cùng kết hợp IP công cộng và cổng cho một thuê bao khác trong vài phút. Việc tái sử dụng địa chỉ này có nghĩa là hai thuê bao hoàn toàn khác nhau có thể xuất hiện đến từ cùng địa chỉ IP vào các thời điểm khác nhau trong cùng một ngày — hoặc thậm chí trong cùng một giờ.
RFC 6264 ghi lại các tác động của các phương pháp chuyển đổi quy mô lớn IPv4-sang-IPv6, trong đó CGNAT là một thành phần. Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF) đã xuất bản nhiều tài liệu hướng dẫn về các cân nhắc vận hành CGNAT cho các nhà cung cấp dịch vụ.
Bạn gặp CGNAT ở đâu
CGNAT phổ biến trong các mạng nhà mạng di động trên toàn thế giới. T-Mobile, AT&T, Vodafone, Orange, Jio và hầu như tất cả các nhà mạng lớn đều sử dụng CGNAT cho lưu lượng thuê bao IPv4. Các ISP cố định trong các khu vực có sự khan hiếm IPv4 nghiêm trọng — bao gồm các phần của Châu Á-Thái Bình Dương và Châu Phi cận Sahara — cũng triển khai CGNAT trên các kết nối băng thông rộng.
Trong môi trường cuộc thi trực tuyến, CGNAT tạo ra một sự căng thẳng cơ bản với việc khử trùng lặp phiếu bầu dựa trên IP. Một chính sách một phiếu mỗi IP ngây thơ trên một cuộc thi mà phần lớn sự tham gia đến từ các thiết bị di động sẽ ngăn cản không đúng cách nhiều người bỏ phiếu hợp pháp tình cờ chia sẻ cùng địa chỉ đầu ra CGNAT bỏ phiếu. Ngược lại, một kẻ xấu trên mạng CGNAT có thể về mặt lý thuyết gửi phiếu bầu từ nhiều địa chỉ IP riêng tất cả xuất hiện cùng IP công cộng, với nền tảng cuộc thi không thể phân biệt chúng với một người bỏ phiếu duy nhất.
Ví dụ thực tế
Một cuộc thi bỏ phiếu từ thiện nhắm vào đối tượng ở Ấn Độ — nơi Jio Platforms phục vụ hàng trăm triệu thuê bao — quan sát thấy rằng một số địa chỉ IP nhất định mỗi địa chỉ xuất hiện trên hàng nghìn lần gửi phiếu bầu trong khoảng thời gian cuộc thi. Điều tra kỹ thuật cho thấy đây là các địa chỉ đầu ra CGNAT cho mạng 4G của Jio. Đội phân tích gian lận của nền tảng xác định rằng cookie và dữ liệu phiên cho thấy các phiên bản trình duyệt riêng biệt đằng sau mỗi lần gửi, phù hợp với sự tham gia chân chính từ nhiều thuê bao. Tín hiệu phân cụm IP thường sẽ chỉ ra gian lận được gán đúng cho CGNAT thay vì cho thao túng phiếu bầu.
Một nền tảng cuộc thi ở Vương quốc Anh nhận được khiếu nại lạm dụng từ một thí sinh tuyên bố rằng nền tảng đang chặn các phiếu bầu hợp pháp từ những người ủng hộ của họ. Điều tra cho thấy những người ủng hộ đều nằm trên cùng mạng CGNAT của nhà mạng di động, và bộ giới hạn tốc độ của nền tảng đã áp dụng giới hạn phiếu bầu trên mỗi IP ảnh hưởng đến tất cả các thuê bao chia sẻ IP đầu ra của nhà mạng. Nền tảng điều chỉnh logic của nó để sử dụng khử trùng lặp dựa trên cookie làm điều khiển chính cho các phiên mà địa lý IP cho thấy mạng của nhà mạng di động.
Một nhóm nghiên cứu của trường đại học nghiên cứu gian lận bỏ phiếu trực tuyến sử dụng các dải địa chỉ RFC 6598 làm bộ phân loại trong quá trình gắn nhãn tập dữ liệu của họ, tách các phiếu bầu xuất xứ CGNAT khỏi các phiếu bầu IP duy nhất chân chính trước khi đào tạo mô hình phát hiện bất thường của họ. Sự tách biệt này cải thiện độ chính xác của mô hình bằng cách ngăn cản mẫu phân cụm CGNAT bị gắn nhãn không đúng là hành vi gian lận trong dữ liệu đào tạo.
Khái niệm liên quan
IP nhà mạng di động mô tả các đặc điểm hướng tới thuê bao của các địa chỉ IP mạng di động, trong đó CGNAT là cơ chế chia sẻ địa chỉ cơ bản. IP dân cư bao gồm cả địa chỉ cố định và di động đối lập với IP trung tâm dữ liệu, nhưng CGNAT là đặc điểm phân biệt của tập con di động. Giới hạn tốc độ là điều khiển cuộc thi bị ảnh hưởng trực tiếp nhất bởi CGNAT: giới hạn tốc độ trên mỗi IP phải tính đến môi trường địa chỉ chia sẻ để tránh chặn không đúng cách những người bỏ phiếu hợp pháp.
Hạn chế / Lưu ý
Việc triển khai CGNAT rộng rãi có nghĩa là chỉ riêng địa chỉ IP là một cơ sở không đáng tin cậy cho việc khử trùng lặp phiếu bầu trong bất kỳ cuộc thi nào nhắm vào đối tượng di động đáng kể. Việc áp dụng IPv6 giải quyết một phần vấn đề này — IPv6 thường gán một địa chỉ toàn cầu duy nhất cho mỗi thiết bị — nhưng IPv4 CGNAT sẽ vẫn là một yếu tố quan trọng trong lưu lượng cuộc thi miễn là IPv4 vẫn là giao thức chiếm ưu thế cho truy cập internet của người tiêu dùng. Các nhà thiết kế nền tảng nên coi IP là một trong số các tín hiệu khử trùng lặp thay vì là một định danh người bỏ phiếu xác định.
