IPv4 주소가 소진되기 전에 NAT를 사용하지 않았습니다. 인터넷에 연결된 모든 컴퓨터에는 고유 한 전 세계 고유 주소가 있습니다. NAT가 처음 도입되었을 때, ISP 고객에게 고객이 사용 / 소유 한 장치 당 1 개의 실제 주소를 제공하는 것에서 1 개의 고객에게 실제 주소를 제공하는 것으로 이동했습니다. 우리가 IPv6로 전환하기로되어있는 동안이 문제는 잠시 (수년간) 해결되었습니다. IPv6으로 전환하는 대신 (대부분) 모든 사람이 다른 모든 사람이 전환하기를 기다렸으므로 IPv6을 배포 한 사람은 거의 없었습니다. 이제 동일한 문제가 다시 발생하지만 이번에는 ISP가 여러 고객간에 하나의 실제 주소를 공유 할 수 있도록 두 번째 NAT 계층 (CGN)이 배포되고 있습니다.
최종 사용자가 제어 할 수없는 경우 (캐리어 등급 NAT 또는 CGN)를 포함하여 NAT가 끔찍하지 않은 경우 IP 주소 소진은 큰 문제가되지 않습니다.
그러나 특히 최종 사용자가 제어 할 수없는 경우 NAT가 끔찍하다고 주장 합니다. (네트워크 엔지니어링 / 관리이지만 소프트웨어 엔지니어링 학위를 소지 한 사람으로서) IPv6 대신 NAT를 배포함으로써 네트워크 관리자는 주소 소진 문제를 현장에서 최종 사용자로 옮기는 데 무게를 옮겼습니다. 그리고 응용 프로그램 개발자.
그렇다면 (내 의견으로는) NAT가 피해야 할 끔찍하고 악한 이유는 무엇입니까?
내가 무엇을 깨뜨 렸는지 (그리고 우리가 더 잘 될지도 몰라서 익숙해지게 만드는 원인이 무엇인지) 설명하면서 정의를 할 수 있는지 알아 봅시다.
- 네트워크 계층 독립
- 피어 투 피어 연결
- 일관된 이름 및 리소스 위치
- 실제 주소를 알고있는 최적의 트래픽 라우팅
- 악성 트래픽의 출처 추적
- 데이터를 분리하고 별도의 연결로 제어하는 네트워크 프로토콜
각 항목을 설명 할 수 있는지 봅시다.
네트워크 계층 독립
ISP는 단지 계층 3 패킷을 통과하고 그 위의 계층에있는 것은 신경 쓰지 않아야합니다. TCP, UDP 또는 더 좋거나 더 이국적인 것 (SCTP 어쩌면? 또는 TCP / UDP보다 우수하지만 NAT 지원 부족으로 인해 모호한 다른 프로토콜)을 전달하든 ISP는 케어; 그것은 모두 그들에게 데이터처럼 보일 것입니다.
그러나 NAT의 "두 번째 물결"인 "캐리어 등급"NAT를 구현할 때는 그렇지 않습니다. 그런 다음 반드시 사용하려는 계층 4 프로토콜을보고 지원해야합니다. 지금은 사실상 TCP와 UDP 만 사용할 수 있다는 것을 의미합니다. 다른 프로토콜은 방금 차단 / 삭제 (대부분의 경우 대부분의 경우) 또는 해당 프로토콜을 사용한 NAT "내부"의 마지막 호스트로 전달되었습니다 (이 작업을 수행하는 구현 1 개를 보았습니다). 해당 프로토콜을 사용한 마지막 호스트로의 포워딩도 실제 수정이 아닙니다. 두 호스트가 사용하자마자 중단됩니다.
나는이 문제 때문에 현재 테스트되지 않고 사용되지 않는 TCP 및 UDP에 대한 대체 프로토콜이 있다고 생각합니다. 틀리지 말고 TCP & UDP는 인상적으로 잘 설계되었으며 오늘날 인터넷 사용 방식에 따라 두 가지를 모두 확장 할 수 있었던 것은 놀라운 일입니다. 그러나 우리가 놓친 것을 누가 알겠습니까? 나는 SCTP에 대해 읽었고 그것은 좋은 것처럼 들리지만 NAT 때문에 실용적이지 않기 때문에 결코 사용하지 않았다.
피어 투 피어 연결
이것은 큰 것입니다. 사실, 내 의견으로는 가장 큽니다. 두 개의 최종 사용자가 모두 자신의 NAT 뒤에 있으면 어느 쪽이 먼저 연결을 시도하더라도 다른 사용자의 NAT가 패킷을 삭제하고 연결에 실패합니다.
이는 게임, Skype와 같은 음성 / 영상 채팅, 자체 서버 호스팅 등에 영향을줍니다.
해결 방법이 있습니다. 문제는 이러한 해결 방법으로 개발자 시간, 최종 사용자 시간 및 불편 함 또는 서비스 인프라 비용이 발생한다는 것입니다. 그리고 그들은 바보가 아니며 때로는 부서집니다. Skype로 인한 정전에 대한 다른 사용자 의견을 참조하십시오.
해결 방법 중 하나는 포트 전달입니다. 여기서 NAT 장치 뒤에 특정 컴퓨터로 특정 수신 포트를 전달하도록 NAT 장치를 프로그래밍합니다. 거기에있는 모든 다른 NAT 장치에 대해이 작업을 수행하는 방법에 전념하는 전체 웹 사이트가 있습니다. https://portforward.com/을 참조 하십시오 . 일반적으로 최종 사용자 시간과 좌절이 발생합니다.
또 다른 해결 방법은 응용 프로그램에 홀 펀치와 같은 기능에 대한 지원을 추가하고 NAT 뒤에없는 서버 인프라를 유지하여 두 개의 NAT 클라이언트를 소개하는 것입니다. 일반적으로 개발 시간이 소요되며 개발자는 이전에는 필요하지 않았던 서버 인프라를 잠재적으로 유지 관리 할 수 있습니다.
(네트워크 관리자에서 최종 사용자 및 응용 프로그램 개발자로 문제의 무게를 옮기는 IPv6 대신 NAT 배포에 대해 내가 말한 것을 기억하십니까?)
네트워크 리소스의 일관된 이름 지정 / 위치
NAT 내부에서 외부와 외부에서 다른 주소 공간이 사용되므로 NAT 내부의 장치에서 제공하는 모든 서비스에는 여러 주소가 있으며이를 사용하는 올바른 주소는 클라이언트가 액세스하는 위치에 따라 다릅니다. . (포트 포워딩 작업 후에도 여전히 문제가됩니다.)
NAT 내에 웹 서버가 있고 포트 192.168.0.23 포트 80과 같이 NAT 장치 (라우터 / 게이트웨이)의 외부 주소가 35.72.216.228이고 TCP 포트 80에 대한 포트 전달을 설정 한 경우 웹 서버는 192.168.0.23 포트 80 또는 35.72.216.228 포트 80을 사용하여 액세스 할 수 있습니다. 사용해야하는 것은 NAT 내부에 있는지 외부에 있는지에 따라 다릅니다. NAT 외부에 있고 192.168.0.23 주소를 사용하면 예상 한 위치로 이동할 수 없습니다. NAT 내부에 있고 외부 주소 35.72.216.228을 사용하는 경우 NAT 구현이 헤어핀을 지원하는 고급 구현 인 경우 원하는 위치를 얻을 수 있습니다.요청을 제공하는 웹 서버는 요청이 NAT 장치에서 온 것으로 간주합니다. 즉, NAT 뒤에 네트워크에 경로가 더 짧아도 모든 트래픽이 NAT 장치를 통과해야하며 이는 웹 서버의 로그가 NAT 장치를 소스로 나열하기 때문에 유용성이 떨어집니다. 연결. NAT 구현이 헤어핀을 지원하지 않으면 예상 한 위치를 얻을 수 없습니다.
그리고이 문제는 DNS를 사용하자마자 악화됩니다. 갑자기 NAT 뒤에서 호스팅되는 항목에 대해 모든 것이 제대로 작동하려면 누가 요청하는지 (AKA split horizon DNS, IIRC)에 따라 NAT 내부에서 호스팅되는 서비스 주소에 대해 다른 대답을 원할 것입니다. 왝.
포트 포워딩과 헤어핀 NAT, 스플릿 호라이즌 DNS에 대해 잘 아는 사람이 있다고 가정합니다. 최종 사용자는 어떻습니까? 소비자 라우터와 일부 IP 보안 카메라를 구입하고 "작동"하기를 원할 때이 모든 것이 제대로 설정 될 가능성은 무엇입니까?
그리고 그것은 나를 이끌어줍니다 :
실제 주소를 알고있는 최적의 트래픽 라우팅
우리가 보았 듯이, 고급 헤어핀 NAT 트래픽조차도 최적의 경로를 통해 항상 흐르지는 않습니다. 지식이 풍부한 관리자가 서버를 설정하고 헤어핀 NAT가있는 경우에도 마찬가지입니다. (분할 된 Horizon Horizon DNS는 네트워크 관리자가 내부 트래픽을 최적으로 라우팅 할 수 있습니다.)
응용 프로그램 개발자가 Dropbox와 같은 프로그램을 만들어 네트워크 장비 구성에 특화되지 않은 최종 사용자에게 배포하면 어떻게됩니까? 특히, 4GB 파일을 공유 파일에 넣은 후 다음 컴퓨터에서 액세스하려고하면 어떻게됩니까? 머신간에 직접 전송됩니까, 아니면 느린 WAN 연결을 통해 클라우드 서버에 업로드 될 때까지 기다렸다가 동일한 느린 WAN 연결을 통해 다운로드 될 때까지 다시 기다려야합니까?
순진한 구현의 경우 중재자로 NAT 뒤에 있지 않은 Dropbox의 서버 인프라를 사용하여 업로드 및 다운로드됩니다. 그러나 두 시스템이 동일한 네트워크에 있다는 것을 인식 할 수 있으면 파일을 훨씬 빠르게 직접 전송할 수 있습니다. 따라서 처음에는 덜 순진한 구현을 시도하여 OS에 머신의 IP (v4) 주소를 물어보고 동일한 Dropbox 계정에 등록 된 다른 머신과 비교하여 확인할 수 있습니다. 그것이 우리와 같은 범위에 있다면, 파일을 직접 전송하십시오. 많은 경우에 효과가있을 수 있습니다. 그러나 문제가 있습니다. NAT는 주소를 재사용 할 수 있기 때문에 작동합니다. 192.168.0.23 주소와 192.168.0이면 어떻게됩니까? 동일한 Dropbox 계정에 등록 된 42 개의 주소가 실제로 다른 네트워크 (예 : 홈 네트워크 및 회사 네트워크)에 있습니까? 이제 Dropbox 서버 인프라를 사용하여 중재하기 위해 장애 복구를해야합니다. (결국 Dropbox는 다른 클라이언트를 찾기 위해 로컬 네트워크에서 각 Dropbox 클라이언트 브로드 캐스트를 사용하여 문제를 해결하려고 시도했지만 이러한 브로드 캐스트는 NAT 뒤에있을 수있는 라우터를 통과하지 않으므로 전체 솔루션이 아닙니다. ,특히 CGN의 경우 .)
정적 IP
또한 많은 소비자 연결이 전화 접속과 같은 연결에 항상 있지 않은 경우 첫 번째 부족 (및 NAT의 물결)이 발생 했으므로 ISP는 실제로 연결되었을 때 공용 / 외부 IP 주소 만 할당하여 주소를보다 잘 활용할 수 있습니다. 즉, 연결할 때 항상 같은 주소를 얻는 대신 사용 가능한 주소를 얻을 수 있습니다. 따라서 자체 서버 실행이 훨씬 어려워지고 고정 주소 대신 이동하는 피어를 처리해야하기 때문에 피어 투 피어 응용 프로그램 개발이 어려워집니다.
악성 트래픽 소스의 난독 화
NAT는 마치 나가는 연결을 마치 마치 마치 마치 마치 NAT 장치 자체에서 오는 것처럼 다시 쓰므로 모든 동작이 양호하거나 나쁜 것은 하나의 외부 IP 주소로 롤업됩니다. 기본적으로 각 나가는 연결을 기록하는 NAT 장치를 보지 못했습니다. 이는 기본적으로 과거 악성 트래픽의 소스가 통과 한 NAT 장치로만 추적 될 수 있음을 의미합니다. 나가는 각 연결을 기록하도록 더 많은 엔터프라이즈 또는 캐리어 급 장비를 구성 할 수 있지만이를 수행하는 소비자 라우터는 보지 못했습니다. ISP가 CGN을 통해 만들어진 모든 TCP 및 UDP 연결을 롤아웃 할 때 기록을 유지하는 것이 흥미 롭다고 생각합니다. 이러한 기록은 남용 불만 및 DMCA 불만을 처리하는 데 필요합니다.
어떤 사람들은 NAT가 보안을 강화한다고 생각합니다. 그렇다면 모호함을 통해 그렇게합니다. NAT가 들어오는 트래픽의 기본 드롭은 상태 저장 방화벽을 갖는 것과 동일합니다. NAT에 필요한 연결 추적을 수행 할 수있는 모든 하드웨어가 상태 저장 방화벽을 실행할 수 있어야하므로 NAT는 실제로 어떤 점에서도 자격이 없습니다.
두 번째 연결을 사용하는 프로토콜
FTP 및 SIP (VoIP)와 같은 프로토콜은 제어 및 실제 데이터 내용에 별도의 연결을 사용하는 경향이 있습니다. 이를 수행하는 각 프로토콜에는 통과하는 각 NAT 장치에 ALG (응용 프로그램 계층 게이트웨이)라는 도우미 소프트웨어가 있거나 일종의 조정자 또는 구멍 펀치 문제를 해결해야합니다. 내 경험상 ALG는 거의 업데이트되지 않았으며 SIP와 관련하여 처리 한 문제 중 적어도 두 가지 원인이되었습니다. 오디오가 한 가지 방식으로 만 작동했기 때문에 VoIP가 그들에게 효과가 없다고보고하는 사람이있을 때마다, 어딘가에 UDP 패킷을 삭제하는 NAT 게이트웨이가 무엇과 관련이 있는지 알아낼 수없는 것으로 의심됩니다.
요약하면 NAT는 다음과 같은 경향이 있습니다.
- TCP 또는 UDP에 대한 대체 프로토콜
- 피어 투 피어 시스템
- NAT 뒤에 호스팅 된 무언가에 액세스
- SIP 및 FTP와 같은 것들. ALG는이 문제를 해결하기 위해 오늘날 특히 SIP에서 무작위로 이상한 문제를 일으 킵니다.
핵심적으로, 네트워크 스택이 취하는 계층화 된 접근 방식은 비교적 간단하고 우아합니다. 네트워킹을 처음 접하는 사람에게 설명을 시도하면 필연적으로 자신의 홈 네트워크가 이해하기에 좋은 단순 네트워크라고 가정합니다. 외부 주소와 내부 주소의 혼동으로 인해 라우팅이 작동하는 방식에 대한 흥미로운 (초과 적으로 복잡한) 아이디어가 몇 가지 사례에서이 사실을 보았습니다.
NAT가 없으면 VoIP는 어디에나있을 수 있고 PSTN과 통합되며 휴대 전화 나 컴퓨터에서 전화를 거는 것은 무료 일 것입니다 (이미 지불 한 인터넷 제외). 결국 64K VoIP 스트림을 열 수 있고 PSTN과 마찬가지로 작동하는 경우 왜 전화 요금을 지불해야합니까? 오늘날 VoIP 배포와 관련된 가장 큰 문제는 NAT 장치를 통해 발생하는 것 같습니다.
NAT가 끊어진 엔드 투 엔드 연결을 사용하는 경우 일반적으로 얼마나 많은 일이 가능한지 알지 못하는 것 같습니다. 두 클라이언트가 NAT 뒤에있을 때 중재자가 필요한 핵심 문제인 경우 사람들은 여전히 자신에게 파일을 전자 메일 (또는 Dropbox)로 보냅니다.