定义
运营商级 NAT——也被称为大规模 NAT(LSN)或 NAT444——是 IETF RFC 6598(2012 年 4 月发布)中定义的 IP 地址共享架构,让互联网服务提供商或移动运营商能够使用规模远小于”每位用户独享一枚地址”的公网 IPv4 地址池来服务大量用户。“运营商级”一词将此种部署规模与家用路由器执行的家庭级 NAT 区别开来:CGNAT 运行于运营商基础设施之上,可能为数万名同时在线的用户经由同一个公网 IP 完成地址转换。
CGNAT 的兴起是对 IPv4 地址耗尽的回应。互联网编号分配机构(IANA)于 2011 年 2 月将最后几块 IPv4 地址分配给各地区互联网注册机构。用户基数迅猛膨胀的移动运营商面临两条出路:要么部署 IPv6——彻底解决地址枯竭问题——要么实施 CGNAT,延长 IPv4 基础设施的使用寿命。绝大多数运营商两条路同时并进。
CGNAT 的工作原理
在 CGNAT 部署中,用户设备从 RFC 6598 共享地址空间获取私网 IP——专门为 CGNAT 预留的 100.64.0.0/10 地址段——或从传统的 RFC 1918 私网地址段(10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)中分得一份。这是用户在运营商内部网络中的地址。
当用户发起出向连接时,流量会先经过运营商的 CGNAT 设备——通常来自 Cisco、Juniper、A10 Networks 等厂商的大型路由平台。CGNAT 设备将私网源地址转换为运营商的某个公网 IPv4 地址,并分配一个动态源端口,用以区分该用户的连接与其他共用同一公网 IP 的并发连接。这种技术被称为端口地址转换(PAT)或网络地址端口转换(NAPT)。
目标服务器——例如某竞赛网站——收到的数据包,源 IP 属于运营商,源端口由 CGNAT 设备分配。仅凭这些信息,服务器无从判断用户的私网地址或身份。所有共用同一 CGNAT 出口 IP 的用户,从目标的视角看在 IP 层面浑然不可分辨。
会话结束后,CGNAT 设备会回收端口分配,并可能在数分钟内把同一个公网 IP+端口组合重新指派给另一位用户。这种地址复用意味着两位完全不同的用户可能在同一天内甚至同一个小时内,从同一 IP 地址出现在外界面前。
RFC 6264 记录了大规模 IPv4 至 IPv6 过渡方案的影响,CGNAT 是其中一环。互联网工程任务组(IETF)已发布多份针对服务提供商 CGNAT 运营注意事项的指南文档。
您会在哪里遇到它
CGNAT 在全球移动运营商网络中广泛存在。T-Mobile、AT&T、Vodafone、Orange、Jio 以及几乎所有大型运营商都对 IPv4 用户流量启用 CGNAT。在 IPv4 严重稀缺的地区——包括亚太部分国家以及撒哈拉以南非洲——固网 ISP 也在宽带连接上部署 CGNAT。
在在线竞赛环境中,CGNAT 与基于 IP 的投票去重之间存在根本性张力。如果一场竞赛的多数参与者来自移动设备,简单的”每 IP 一票”政策会错误地阻止那些恰巧共用 CGNAT 出口地址的合法投票者。反过来,CGNAT 网络上的恶意行为者,理论上可以从大量私网 IP 地址出发提交投票,但所有票在外界看来都源自同一个公网 IP,竞赛平台无从将其与单一投票者区分开。
实际示例
某面向印度受众的慈善投票活动——印度的 Jio Platforms 服务着数亿用户——观察到某些 IP 地址在竞赛窗口期里各自出现在数千张投票上。技术调查显示这些地址正是 Jio 4G 网络的 CGNAT 出口。平台反欺诈分析团队发现,Cookie 与会话数据显示每次提交背后都是不同的浏览器实例,与多位用户真实参与的特征相符。原本指向欺诈的 IP 聚集信号,被正确归因于 CGNAT 而非刷票。
英国某竞赛平台收到一位参赛者的投诉,称平台屏蔽了支持者的合法投票。调查显示,这些支持者全部位于同一移动运营商的 CGNAT 网络中,平台的速率限制器对每个 IP 设置的投票上限,影响了所有共用该运营商出口 IP 的用户。平台调整逻辑,对 IP 地理定位指向移动运营商网络的会话,改以基于 Cookie 的去重作为主要管控。
某高校在线投票欺诈研究团队,将 RFC 6598 地址段作为数据集标注流程中的分类器,把 CGNAT 来源的投票与真正唯一 IP 的投票分别标注,再训练异常检测模型。这种区分提升了模型准确度,避免了 CGNAT 聚集模式在训练数据中被误标为欺诈行为。
相关概念
移动运营商 IP描述移动网络 IP 地址面向用户的特征,CGNAT 是其底层的地址共享机制。住宅 IP涵盖固网与移动两类地址,与数据中心 IP 相对,但 CGNAT 是其中移动子集的标志性特征。速率限制是受 CGNAT 影响最直接的竞赛管控:按 IP 设定的速率上限必须考虑共享地址环境,避免错误屏蔽合法投票者。
局限与注意事项
CGNAT 的广泛部署意味着,在任何面向相当数量移动受众的竞赛中,单凭 IP 地址作为投票去重的依据都不可靠。IPv6 的普及在一定程度上能够缓解这一问题——IPv6 通常会为每台设备分配唯一的全球地址——但只要 IPv4 仍是消费级互联网接入的主导协议,CGNAT 就会持续在竞赛流量中扮演重要角色。平台设计者应将 IP 视为多项去重信号之一,而非投票者身份的最终凭据。
