NAT444 aneb ve dvou se to lépe NATne

Docházející IPv4 adresy představují silnou pobídku k vytváření různých řešení, jak se s ním vyrovnat. Tím koncepčním je samozřejmě IPv6, ovšem i na straně IPv4 se intenzivně vynalézá. Koncept označovaný jako NAT444 není žádnou dramatickou novinkou, spíše kodifikací postupů, které se v praxi již objevují.

Vezměme si jako příklad domácí síť. Ta dnes obvykle disponuje jednou veřejnou IPv4 adresou, kterou má přiřazenu prvek typu „vše pod jednou střechou“ (kombinuje ADSL modem, směrovač, NAT a řadu dalších funkcí), jímž je připojena k Internetu. Uvnitř sítě se používají neveřejné adresy podle RFC 1918 (nejčastěji prefix 10.0.0.0/8) a při komunikaci s Internetem NAT v přístupovém prvku tyto adresy překládá na svou vlastní.

Komunikuje-li počítač z domácí sítě s veřejným serverem (třeba s Lupou), dochází jen k jedinému překladu adres. Toto uspořádání bývá označováno NAT44, protože zahrnuje jeden překlad IPv4 na IPv4.

Ovšem i ta jedna jediná veřejná adresa pro domácí síť může být příliš mnoho ve světě se stále větším nedostatkem adres. V tom případě může poskytovatel sáhnout k tomu, že použije neveřejné adresy i ve své páteřní síti a bude je překládat centrálním NATem. Vznikne architektura se dvěma úrovněmi NATů.


Autor: Satrapa Jan

NAT444

První úroveň se nachází u zákazníků a proti současnému stavu se prakticky nezmění. Neveřejné adresy z koncové sítě nadále překládá na svou vlastní. Jeho adresa ovšem už nadále není veřejná, ale jiná neveřejná z rozsahu použitého v poskytovatelově páteři.

Druhou úroveň NATu provozuje poskytovatel Internetu centrálně pro všechny své zákazníky (resp. pro jejich skupiny, může samozřejmě různé části své sítě obsluhovat několika NATy). Tento centrální NAT bývá označován jako Carrier Grade NAT (CGN) či Large Scale NAT (LSN). Disponuje sadou veřejných IPv4 adres, na které překládá neveřejné adresy z páteřní sítě.

Jelikož při komunikaci s globálním Internetem dochází ke dvěma překladům a všechny tři verze IP datagramu (původní, poprvé i podruhé přeložená) používají IPv4, používá se pro tuto architekturu název NAT444.

Hlavní předností NAT444 je úspora IPv4 adres proti přístupu s veřejnou adresou pro každého zákazníka. Centrální NAT může mít řádově nižší počet veřejných IPv4 adres, než je počet jím obsluhovaných zákazníků, protože jejich využití je z principu efektivnější. Jen výjimečně spotřebuje zákazník všech 65 tisíc portů, které má k dispozici na svém NATu, navíc část domácích sítí v danou dobu nekomunikuje vůbec a aktuálně nepotřebuje žádné adresy.

Značně se ovšem komplikuje vztah mezi zákazníkem a IP adresou pro případné zpětné dohledání zdroje problémů. Zákazník používá náhodnou směs IP adres a portů, která se navíc v čase mění. Aby byl poskytovatel schopen dohledat zdroj komunikace, musí uchovávat veškeré záznamy o činnosti centrálního NATu – zejména vytvoření a zrušení každé dynamické vazby mapující adresu.

Alternativou je statické rozdělení dostupného adresního prostoru: Zákazník X používá výlučně adresu Y a porty v rozsahu od A do B. To na jedné straně zhorší efektivitu celého mechanismu, protože řada portů bude vždy rezervována zbytečně. Na straně druhé se ovšem zjednoduší vztah mezi zákazníky a adresami a zároveň toto uspořádání poskytuje ochranu před tím, aby malý počet hyperaktivních zákazníků zkonzumoval dostupné porty pro všechny ostatní. Je otázkou rozhodnutí poskytovatele a schopností jeho centrálního NATu, kterou variantu zvolí.

Podobně uspořádané sítě se už v současnosti objevují, pracovní návrh NAT444 v podstatě popisuje používaná řešení. Což není na škodu. Zkušenosti ukazují, že leckterá inovativní řešení neuspěla a v praxi se uplatnily odlišné cesty. Pracuje se také na specifikaci požadavků na centrální NATy.

Jednou z inovací, o něž se autoři snaží, je vyhrazení speciálních adres pro poskytovatelské sítě. Při používání neveřejných adres podle RFC 1918 hrozí, že si stejný rozsah vyberou i někteří ze zákazníků. A směrovat v síti, jejíž sousedící části používají konfliktní adresy, to je opravdové peklo. Proto vznikl návrh na vytvořeníIPv4 adres sdílených poskytovateli (ISP shared addresses). Chovaly by se podobně jako současné neveřejné adresy – každý poskytovatel by je mohl používat bez omezení, žádostí či registrací, platily by jen v jeho síti a nebyly by směrovány globálním Internetem. Tyto adresy by ale nemohli využívat koncoví uživatelé, byly by určeny jen pro poskytovatelské páteřní sítě, aby se vyloučil konflikt se zákaznickými adresními prostory.

EBF6

NAT444 má samozřejmě celou řadu nevýhod. Vedle obecně známých problémů s NATy přibývají další komplikace, jako třeba různá doba životnosti mapování adres ve spolupracujících NATech. Zkušenosti společností CableLabs, Time Warner Cable a Rogers Communications jsou shrnuty v přehledu dopadů NAT444 na síťové aplikace a není to zrovna veselé čtení. Řada interaktivních aplikací přestává v tomto prostředí fungovat. Protokoly vyvinuté pro jejich použití v domácích sítích (jako UPnP či NAT-PMP) nelze nasadit – jeden zákazník nemůže řídit činnost centrálního NATu společného pro všechny.

NAT444 představuje typické východisko z nouze. Má minimální požadavky, vesměs staví na existujících technologiích. Na druhé straně přináší významná omezení. V IPv4 Internetu je ovšem třeba se s ním smířit jako s nutným zlem.

30 názorů Vstoupit do diskuse
poslední názor přidán 6. 6. 2011 17:02

Školení: Právo vs. online marketing

  •  
    Jak chránit vlastní značku a obsah.
  • Jak využívat cizí díla pro svoje prezentace.
  • Na co si dát pozor při tvorbě reklamy na internetu.

Více o školení Právo vs. online marketing »