«Відлуння минулих років»: Як вирішується питання нестачі адрес IPv4

IPv4 дозволяє близько 4,3 млрд адрес. Однак «потужності» інфраструктури інтернету, яку заклали в 70-х роках XX століття, сьогодні стає недостатньо, оскільки в той час ніхто не припускав такого швидкого зростання споживачів. За останні 20 років кількість інтернет-користувачів виросло практично в 60 разів, багато в чому завдяки густонаселених країнах — Індії та Китаю. Також цьому сприяло поширення мобільних пристроїв.


/ Flickr / Michael Pardo /CC

Управлінням адресним простором та роздачею IP-адрес займається Адміністрація адресного простору інтернету IANA та регіональні інтернет-реєстратори (ARIN, APNIC, AfriNIC, LACNIC, RIPE NCC). На початку 2011 року IANA виділила останні п'ять з решти блоків адресного простору регіональним операторам.

Тоді фахівці організації передбачили, що адреси будуть вичерпані протягом наступних п'яти років. І ось ці п'ять років підійшли до кінця і про припинення видачі адрес заявила LACNIC. Тому ми вирішили звернутися до цієї теми знову і подивитися, куди людство просунулося у вирішенні ситуації, що склалася.

Що робити
В якості одного з можливих рішень зараз пропонується посилити контроль за адресами. Спочатку діапазони видавалися величезними блоками, але багато організації, які отримали їх у своє розпорядження, сьогодні перестали існувати, а реєстр в той час не вівся. Тому необхідно повернути всі адреси, розбити їх на дрібніші кластери і роздати повторно.

Інше рішення — впровадження системи IPv6, яка являє собою останню версію IP з практично необмеженою кількістю адрес (2 в ступені 128). Однак тут виникає певна складність, оскільки протокол IPv6 несумісний з IPv4, що уповільнює і ускладнює перехід.

Є ще третій варіант. Звернутися до трансляції мережевих адрес (Network Address Translation, NAT), перетворюючої безліч локальних адрес організації в єдиний зовнішній. Механізм роботи NAT описується в RFC 1631, RFC 3022.



Виділяють кілька видів NAT. Перший — статичний, який перетворює внутрішні адреси під зовнішні «в масштабі один до одного. Другий — динамічний, транслює один внутрішній адресу на зовнішній з наданого діапазону. Трансляція здійснюється так само, як і в статичному NAT, тільки зовнішній адреса вибирається випадковим чином з тих, які були вільні у момент перетворення.

І, нарешті, третій варіант — це так званий перевантажений NAT (NAPT, NAT Overload, PAT) — є формою динамічного NAT, в якій кілька внутрішніх адрес відображаються на один зовнішній. Саме цей варіант здатний допомогти при нестачі публічних IP-адрес.

Максимальне число можливих портів становить 65 тис., тому, теоретично, така ж кількість локальних адрес може бути відображено на один зовнішній адресу. Однак NAT володіє рядом недоліків.

Оскільки всі користувальницькі сесії виходять в інтернет з одного білого адреси, це буде викликати проблеми з сайтами, що дозволяють доступ до сервісу IP — можливість попрацювати з ним отримає лише один користувач. Більш того, якщо безліч людина звернеться до сайту з однієї адреси, ресурс може вирішити, що на нього здійснюється DDoS-атака, і закрити доступ всім клієнтам.



Що чекає NAT в майбутньому
А в майбутньому нас чекає наступний рівень розвитку NAT — Carrier Grade NAT (CGN/CGNAT). Рішення розраховане на інтернет-провайдерів та операторів зв'язку, але також підходить для заміни NAT-пристроїв в корпоративних мережах. CGN дозволяє призначати локальні адреси абонентам, централізовано перетворюючи їх у зовнішні.



У рішення CG-NAT є кілька достоїнств. Воно забезпечує прозорий спосіб використання NAT, завдяки функціям Endpoint Independent Mapping (EIM), що дозволяє для кожного поєднання приватного IP-адреси і порту клієнта гарантувати те ж поєднання публічних IP-адрес, Endpoint Independent Filtering (EIF), отбрасывающей пакети, які не призначені для внутрішніх адрес, і Hairpinning, що забезпечує доступ однієї машини до іншої всередині мережі по зовнішньому адресою.

Ще однією важливою перевагою CGN є обмеження кількості портів TCP і UDP, доступних абоненту. Це дає можливість ефективного розподілу портів між користувачами, а також захищає від DDoS-атак з ботнетів.

Перехід на IPv6
Багато оператори починають поступово переходити на IPv6, оскільки рано чи пізно всім доведеться його використовувати. Пом'якшити перехід від IPv4 до IPv6 здатна технологія Carrier-Grade NAT. Для цього застосовуються такі рішення: NAT64, DS-Lite, 6RD і NAT444.



Технологія NAT64 дозволяє користувачам послуг на IPv6 надавати доступ до ресурсів з адресами IPv4, транслюючи адреси нового протоколу адреси старого.



Технологія DS-Lite DS Lite використовує IPv6-з'єднання між провайдером та клієнтом. Пакет IPv4 від клієнта, прямує в зовнішню мережу, інкапсулюється в IPv6 для передачі за допомогою мережі провайдера, а потім перетвориться назад в IPv4 при переході в публічний інтернет. В цьому випадку оператор може розгорнути в себе мережу IPv6, але продовжувати надавати послуги підключення для клієнтів з IPv4.

Технологія 6RD реалізує надання послуги IPv6 клієнтам через існуючу мережу IPv4. IPv6-адреси виділяються з підмережі, яка закріплена за провайдером інтернет-послуг. 6RD-вузол, що бажає відправити IPv6-пакет по мережі, інкапсулює його в пакет IPv4 і проводить перевірку того, чи знаходиться одержувач у тому ж сегменті.

Якщо це так, то IP-адреса отримувача формується шляхом доповнення префікса IPv4 бітами з IPv6 адресата, не входять до 6RD-префікс. Якщо одержувач знаходиться в іншому сегменті, то пакет відправляється на шлюз провайдера, який отримує пакет і потім передає його далі по IPv6-мереж. Механізм описаний у RFC 5969.



Технологія NAT444 дозволяє транслювати локальний адресу клієнта в локальний адресу провайдера, який потім переводиться в публічний адреса інтернету. При цьому не доведеться змінювати клієнтське обладнання або мережеву структуру.

Для реалізації будь-якої з цих технологій необхідно або використовувати спеціальне обладнання для перетворення адрес або тунелювання (A10 Thunder, F5 BIG-IP Carrier-Grade NAT), або модернізувати наявні мережеві пристрої додатковими сервіс-модулями.



Реалізувати все це дозволяє багатофункціональний пристрій, наприклад DPI (Deep Packet Inspection) та Carrier-Grade NAT. Такі рішення апріорі розраховані на роботу з великими навантаженнями при аналізі трафіку, тому легко впораються з трансляцією адрес (функція NAT).
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.