/ Flickr / マイケルパルド / cc
アドレス空間の管理とIPアドレスの割り当ては、IANAインターネットアドレス空間管理と地域のインターネットレジストラ(ARIN、APNIC、AfriNIC、LACNIC、RIPE NCC)によって処理されます。 2011年の初めに、IANAはアドレススペースの残りの5ブロックを地域のオペレーターに割り当てました。
その後、組織の専門家は、今後5年間で住所が使い果たされると予測しました。 そして、この5年間は終わりを告げ、アドレス発行の停止はLACNICによると述べた 。 したがって、私たちは再びこのトピックに目を向け、現在の状況を解決する上で人類がどこで進歩したかを見ることにしました。
どうする
可能な解決策の1つとして、アドレス制御を強化することが現在提案されています。 当初、範囲は巨大なブロックで発行されていましたが、それらを自由に受け取った多くの組織は今日存在しなくなり、その時点でレジストリは維持されませんでした。 したがって、すべてのアドレスを返し、それらをより小さなクラスターに分割して、再度配布する必要があります。
もう1つの解決策は、ほとんど無制限のアドレス(2の128乗)を持つ最新のIPバージョンであるIPv6システムの導入です。 ただし、IPv6はIPv4と互換性がないため、移行が遅くなり、移行が複雑になるため、多少の困難があります。
3番目のオプションがあります。 組織のローカルアドレスの多くを単一の外部アドレスに変換するネットワークアドレス変換(NAT)を参照してください。 NATメカニズムはRFC 1631 、 RFC 3022で説明されています 。
NATにはいくつかのタイプがあります。 1つ目は静的で、内部アドレスを外部の「スケール」に1対1に変換します。 2つ目は動的で、1つの内部アドレスを指定された範囲の外部アドレスに変換します。 変換は、静的NATと同じ方法で実行されます。外部アドレスのみが、変換時に空いたアドレスからランダムに選択されます。
最後に、3番目のオプション-いわゆる輻輳NAT(NAPT、NATオーバーロード、PAT)-は、動的NATの形式で、複数の内部アドレスが1つの外部にマッピングされます。 パブリックIPアドレスの不足に役立つのは、このオプションです。
可能なポートの最大数は65,000です。したがって、理論的には、同じ数のローカルアドレスを1つの外部アドレスにマッピングできます。 ただし、NATにはいくつかの欠点があります。
すべてのユーザーセッションが1つの白いアドレスからインターネットにアクセスするため、IPによるサービスへのアクセスを許可するサイトで問題が発生します。1人のユーザーのみがそれを使用できます。 さらに、多くの人が同じアドレスからサイトにアクセスする場合、リソースはDDoS攻撃を受けていると判断し、すべてのクライアントへのアクセスをブロックできます。
将来NATを待つもの
そして、将来的には、次のレベルのNAT開発であるキャリアグレードNAT(CGN / CGNAT)を待っています。 このソリューションは、インターネットプロバイダーと通信事業者向けに設計されていますが、企業ネットワークのNATデバイスを置き換えるのにも適しています。 CGNを使用すると、ローカルアドレスをサブスクライバーに割り当て、それらを外部に一元的に変換できます。
CG-NATソリューションにはいくつかの利点があります。 クライアントのプライベートIPアドレスとポートの各組み合わせが、パブリックIPアドレスの同じ組み合わせを保証するエンドポイント独立マッピング(EIM)機能のおかげで、NATを透過的に使用できます。アドレス、およびヘアピニング。ネットワーク内の外部アドレスから別のマシンへのアクセスを提供します。
CGNのもう1つの重要な利点は、加入者が使用できるTCPおよびUDPポートの数の制限です。 これにより、ユーザー間でポートを効率的に分散でき、ボットネットからのDDoS攻撃からも保護します。
IPv6への移行
遅かれ早かれ誰もがIPv6を使用する必要があるため、多くのオペレーターが徐々にIPv6に切り替え始めています。 Carrier-Grade NATは、IPv4からIPv6への移行を緩和できます。 これには、NAT64、DS-Lite、6RD、およびNAT444のソリューションが使用されます。
NAT64テクノロジーにより、IPv6サービスのユーザーは、IPv4アドレスでリソースへのアクセスを提供し、新しいプロトコルのアドレスを古いプロトコルのアドレスに変換できます。
DS-LiteテクノロジーDS Liteは、プロバイダーとクライアント間のIPv6接続を使用します。 外部ネットワークにルーティングされたクライアントからのIPv4パケットは、プロバイダーのネットワークを使用して送信するためにIPv6にカプセル化され、パブリックインターネットに切り替えるときにIPv4に変換されます。 この場合、オペレーターはIPv6ネットワークを展開できますが、IPv4を介してクライアントに接続サービスを提供し続けます。
6RDテクノロジーは、既存のIPv4ネットワークを介した顧客へのIPv6サービスの提供を実装します。 IPv6アドレスは、インターネットサービスプロバイダーに割り当てられたサブネットから割り当てられます。 ネットワーク経由でIPv6パケットを送信する6RDノードは、IPv6パケットをIPv4パケットにカプセル化し、受信者が同じセグメントにいるかどうかを確認します。
その場合、受信者のIPアドレスは、6RDプレフィックスの一部ではないIPv6宛先からのビットでIPv4プレフィックスをパディングすることによって形成されます。 受信者が別のセグメントにいる場合、パケットはプロバイダーのゲートウェイに送信されます。ゲートウェイはパケットを取得し、IPv6ネットワーク経由でさらに転送します。 メカニズムはRFC 5969で説明されています 。
NAT444テクノロジーを使用すると、クライアントのローカルアドレスをプロバイダーのローカルアドレスに変換し、プロバイダーのローカルアドレスをパブリックインターネットアドレスに変換できます。 この場合、クライアント機器またはネットワーク構造を変更する必要はありません。
これらのテクノロジーを実装するには、アドレス変換またはトンネリング用の特別な機器(A10 Thunder、F5 BIG-IP Carrier-Grade NAT)を使用するか、追加のサービスモジュールで既存のネットワークデバイスをアップグレードする必要があります。
これにより、 DPI (Deep Packet Inspection)やCarrier-Grade NATなどの多機能デバイスを実装できます。 このようなソリューションは、トラフィックの分析時に膨大な負荷を処理するように設計されているため、アドレス変換(NAT機能)に簡単に対処できます。