機能

キャリアグレードNAT (CGNAT)

NATの歴史

ネットワークアドレス変換 (NAT) は、長期に渡って使用されているテクノロジーであり、現在ではファイアウォールやインターネットゲートウェイのいたるところに配置されています。キャリアグレードNAT (CGN) は大規模NAT (LSN) とも呼ばれており、現在、新しい標準となりつつあります。当初、従来のNATは、2つのネットワーク間のアドレス範囲を変換するために使用されていました。この10年間、NATは、ホームインターネットルーターの一環として、家庭や企業のほぼすべての接続に使用されています。NATが広く使用されるようになった主な要因は、複数のローカル(プライベート)IPアドレスでグローバル(パブリック)IPアドレスを共有できるためです。この10年間で、IPアドレスの枯渇はますます進んでおり、ISPが付与するIPアドレスは、ホーム加入者ごとに1つのみとなっています。この枯渇は、近年さらに悪化しています。2011年、Internet Assigned Numbers Authority (IANA) は地域インターネットレジストリー (RIR) に対して、残っている最後の/8アドレスブロックを発行しました。NATは、残りのグローバルIPアドレスをオーバーサブスクライブして、IPv4アドレスの枯渇を解消するのに役立ちます。

NATの課題

NATの課題として、ネットワークのエンドツーエンドの原則に反していることがあります。ピアツーピア (P2P)、VoIP、動画ストリーミング、トンネルなどのアプリケーションや、IPアドレスをペイロードに使用するアプリケーションは、この影響を受けます。NATをさらに透過的で明確なものにするためIETF RFCが存在しますが、NATの動作はネットワーク機器ベンダー間で完全には標準化されていません。

CGNへの進化

キャリアグレードNAT (CGN/CGNAT) は、大規模NAT (LSN) とも呼ばれており、次のレベルのNAT実装となっています。ISP(インターネットサービスプロバイダー)とキャリア向けのソリューションを提供することを目的としていますが、企業ネットワーク内のNATデバイスの置き換えにも適しています。CGNにより、これらの組織では、限られたグローバルIPv4アドレスをオーバーサブスクライブしながら、透過的なIPv4接続とシームレスなユーザーエクスペリエンスを提供できます。キャリアでは、アクセスネットワークにローカル(プライベート)IPv4アドレスを割り当てて、中央のデバイスを使用してグローバル(パブリック)インターネットへのアドレス変換を管理できます。この設定は1つのレベルのNATを使用するもので、NAT44とも呼ばれます。CPE NATデバイスは2番目の変換レイヤーを作成するもので、この設定はNAT444とも呼ばれます。

CGNのメリット

  • 透過的な接続 (EIM/EIF)
  • ヘアピニング
  • ユーザークォータ

CGNは、Endpoint Independent Mapping (EIM)、Endpoint Independent Filtering (EIF)、ヘアピニングなどの機能を備えているため、デバイスに対して最も透過的なNAT接続を提供します。従来のNAT実装では、外部から開始されたトラフィックは許可 (EIM、EIF) されず、また、内部のプロトコルがトラフィックを内部にループバックする(ヘアピニング)ことはできませんでした。

CGNの重要な側面には、単一加入者によって使用されるTCPポートとUDPポートの数を管理者が制限できるという点もあります。これは、加入者間におけるポートリソースの共有に公平性を維持するために重要です。分散型サービス拒否 (DDoS) 攻撃で使用される「ボットネット」では、エンドデバイスごとに大量の接続が使用されるため、使用できるポートが急速に減少します。規制されないままの状態では、他の加入者の接続全体が、外部の個人によって簡単に侵害される可能性があります。

CGNは最も透過的なNAT接続を提供しますが、いくつかのプロトコルについては特別な考慮が必要です。たとえば、プロトコルの通信において、制御とデータに、変換が必要な別々のIP/ポートの組み合わせが使用される場合があります。アプリケーションレイヤーゲートウェイ (ALG) は、適切なNATトラバーサルを特定してこれらのアプリケーションで使用できるようにするために、ディープパケットインスペクションを提供します。

ローカルのプライベートIPアドレスはパブリックインターネットには表示されないため、ログについても、CGNの重要な側面として考慮する必要があります。インターネットに接続するすべてのデバイスで、多数のセッションが生成されます。すべてのセッションを追跡すると、膨大なログメッセージが生成されます。CGNデバイスは、ログの量を低減するのに役立つ、ポートバッチ処理、ゼロログ作成、コンパクトなログ作成などのさまざまな高度な手法を提供している必要があります。

CGNは、グローバルIPアドレスの大規模なオーバーサブスクリプション向けに設計されていますが、ユーザーに対して最も透過的な接続を提供します。つまり、ISPとキャリアのみが対象となるソリューションではなく、企業も対象となります。このため、LSNとCGNは、区別せずに使用されることの多い用語となっています。業界では、CGNという用語を使用する傾向が強くなっています。一般に、CGNデバイスは、大量の同時接続と広帯域のスループットを処理します。大量のトラフィックを処理できるという理由で、NATデバイス(ファイアウォール、従来のロードバランサーなど)がキャリアグレードであると主張されている場合、そのNATデバイスがキャリアグレードNATデバイスであるという意味ではありません。これは、一部のベンダーが顧客を信じ込ませようとしているものです。

CGNの使用例

A10は、IPv6移行戦略の一環としてCGNの導入に成功しているお客様を全世界に擁しています。たとえば、国内最大手の携帯電話会社では、A10のCGNソリューションを使用して、ますます増加している携帯電話市場とスマートフォン市場向けにIPv4接続を維持しています。A10デバイスは、アクティブなセッションの同期のために、豊富な機能を備えたCGNソリューションと卓越した高可用性 (HA) を提供します。つまり、たとえば、単一のA10デバイスで電源が失われた場合でも、アクティブなセッションはすべて、そのままの状態で残ります。A10デバイスは、サポートされるさまざまな機能、卓越した処理能力、および優れたコスト効率(通常、従来のネットワークベンダーと比較し、加入者あたりのコストが1/100~1/10)により、競合他社製品よりも先行しています。単一のA10デバイスは、大手のネットワークベンダーのNATソリューションとして提供されている、非常に高額なシャーシベース処理のカードを複数使用する場合よりも、高い処理能力を発揮します。豊富な機能と高い処理能力をすぐに利用できるため、A10のCGNソリューションにより、成長するネットワークに適合および適応することができます。複数のA10デバイスを容易にクラスター化して、管理しやすい方法で処理能力を組み合わせることができます。

このエントリーをはてなブックマークに追加