キャリアグレードNAT(CGN/CGNAT)とは

キャリアグレードNAT (CGN/CGNAT)

インターネットの黎明期(1980年代)、接続されたすべてのコンピュータは、それぞれ固有のパブリックIPアドレスを持つことが予定されていました。IPアドレスは当初、8ビットを4つのオクテットに分割したIPv4という規格で定義され、40億個以上のユニークな値(実際には42億9496万7296個)を持つため、当時は使い切ることはないように思われました。

しかし、1980年代後半になると、インターネットの急激な普及により、この膨大なアドレスが枯渇することが明らかになりました。IPv6はIPv4の後継プロトコルとして構想され、限られたアドレス空間を解決するものでした。しかし、IPv6は後方互換性を持たせておらず、依然としてIPv4アドレスの制限という問題が残っていました。この問題を解決するために、主にサービスプロバイダー向けに作られたのがキャリアグレードNAT(CGNAT)です。

IPv4アドレス枯渇の経緯

1992年6月、インターネットの驚異的な成長の結果、RFC1338「Supernetting: an Address Assignment and Aggregation Strategy」が発行されました。このメモは、「やがて訪れる32ビットIPアドレス空間の枯渇」を論じた最初のものでした。その2年後にRFC1631「The IP Network Address Translator (NAT)」が発行され、解決策を提案しました。

「長期的な解決策ができるまで、IPアドレスの需要を抑える簡単な方法は、アドレスの再利用である」。この解決策は、スタブドメイン内のホストのうち、常にドメイン外との通信を行うホストはごく少数であることを利用したものです。(スタブドメインとは、企業ネットワークなど、ドメイン内のホストを発信または宛先とするトラフィックのみを処理するドメインのこと)。実際、多くのホスト(ほとんどではないにしても)は、スタブドメインの外部と通信することはないため、スタブドメイン内のIPアドレスの一部だけを、外部との通信が必要なときにグローバルに一意なIPアドレスに変換するのです。

IPv6と呼ばれるプロトコルは、IPv4の後継として、またIPv4のアドレス枯渇に対する長期的な解決策として、1998年にドラフト標準(RFC2460)となりました。このプロトコルは128ビットのアドレス空間(合計3.4×1038アドレス、約340兆個)を提供するものでしたが、IETF(Internet Engineering Task Force)がインターネット標準と宣言したのは、それから19年後の2017年7月でのことでした。(RFC 8200)。

標準的なNATとIPv4アドレス

ネットワークアドレス変換(NAT)の本来の設計では、複数のエンドユーザーが内部ネットワークに任意のプライベートアドレス範囲を使用できます。内部ホストを外部ホストにルーティングするために、NATサービスがプライベートIPアドレスをパブリックIPアドレスに変換します。ルーティングがIPv4ネットワーク間の場合、この技術はIPv4からIPv4アドレスへNATすることからNAT44と呼ばれています。下図は、プライベートアドレスをパブリックアドレスに変換するNATを備えたCPE(Customer Premises Equipment)ゲートウェイを簡略化して示したものです。

標準的なNATは、複数のスタブドメイン内部アドレスを1つのグローバルなパブリックアドレスにマッピングします。その逆もまた可能です。消費者や企業のポイントソリューションではうまく機能しましたが、NATの展開はすぐにビジネスネットワークを超えて家庭やモバイルネットワークに拡大しました。顧客のCPEやモバイル機器にはそれぞれパブリックIPアドレスが必要で、消費者の導入が急速に拡大したため、インターネットIPv4の枯渇という問題が深刻化しました。

キャリアグレードNAT (CGNAT)

その結果、ISP、ブロードバンドケーブル、モバイルオペレーターなどのサービスプロバイダーは、パブリックIPアドレスの限られたプールをさらに拡張し、いくつかの独自のパフォーマンスと機能の要件を満たすための技術をすぐに必要としました。IETFのネットワークワーキンググループはこの問題の分析を開始し、2009年から従来のNATを強化するための一連の「コメント要求」(RFC)を発行しました。

IETFのRFCは、大規模NAT(LSN)またはNAT 444とも呼ばれる「キャリアグレードNAT」に対する勧告、展開の制限、要件を提供しています。今日、キャリアグレードNAT(CGNAT)は成熟した技術であり、その運用はIETFのRFCとドラフト文書によって十分に標準化されています。

サービスプロバイダー向けCGNAT

標準的なNATは、プライベートIPv4アドレスをパブリックIPv4アドレスに変換しますが、キャリアグレードNAT(CGNAT)は、さらに変換レイヤーを追加します。これにより、ISPは自社のパブリックIPv4アドレスを保持し、サービスプロバイダーのプライベートIPv4ネットワークを通じて加入者のトラフィックを処理し、独自のプライベートIPv4ネットワークを持つ加入者や企業、複数の拠点やデバイスをサポートすることができます。通常、キャリアグレードNAT(CGNAT)はNAT 444のシナリオで使用され、変換を行います。

• (顧客) プライベートIPv4→(ISP) プライベートIPv4ネットワークアドレス
• (ISP) プライベート IPv4 ネットワークアドレス→(ISP) パブリック IPv4 ネットワークアドレス(インターネットに接続するため)

NAT444 (private to private to public)の導入により、複数の顧客ネットワークが独自の内部ネットワークアドレス空間を持ち、ISPの内部ネットワークアドレス空間を経由して、ISPの単一のパブリックインターネットIPv4アドレスを共有して、インターネットにアクセスすることが可能になります。

NAT444 の展開

下図は、3つの顧客ネットワークがすべて同じ内部IPv4アドレス空間を使用したNAT444(プライベートクラウド、プライベート、パブリック)の展開を示しています。、ISPのプライベートな外部IPv4アドレスが1つのパブリックIPv4アドレスを共有しています。

IPv4の枯渇に対処するのは概念的には簡単ですが、それを大規模に行うのは複雑です。そこで、A10が持つキャリアグレードNAT(CGNAT)の専門知識は非常に重要です。A10のソリューションは、業界標準に準拠しており、運用を簡素化するための拡張機能も備えています。導入事例「UberがIPv4枯渇を大規模に解決(英語)」を参照してください。

NAT64とIPv6への移行について

NAT64は、IPv6のみのクライアントがレガシーIPv4のみのサービスにアクセスすることを可能にする技術です。NAT64デバイスは、クライアントのDNSリクエストのゲートウェイとして機能し(DNS64を使用)、必要に応じてIPv4 DNSレスポンスをIPv6 DNSレスポンスに変換します。

通信事業者のIPv6移行の詳細については、IETF(Internet Engineering Task Force)の仕様「An Incremental Carrier-Grade NAT (CGN) for IPv6 Transition」を参照してください。

キャリアグレードNATのメリット

IPはもともと、ネットワークにおけるエンドツーエンドの原則に従って設計されています。つまり、アプリケーションプロトコルは、中間システムがパケットヘッダやペイロードを変更することなく、ホスト間で直接通信することを想定しています。NATは少なくともIPアドレスを変更し、時には他のプロトコルのヘッダーやペイロードを変更するため、NATは通信を中断させる可能性があります。キャリアグレードNAT(CGNAT)は、従来のNATを大規模に使用する際に発生するこの問題やその他の問題を、以下の機能により解決します。

• アプリケーションレベルゲートウェイ(ALG)は、NATサーバーが通信を中断させる問題を解決するために開発されました。プロキシサーバー技術に基づき、ALGは必要なアプリケーションプロトコルヘッダーとペイロードをインテリジェントに変更し、NATによってルーティングされるプロトコルに適合させます。
• Endpoint Independent Mapping(EIM)、Endpoint Independent Filtering(EIF)、ヘアピニングにより、透過的なNAT接続を実現します。従来のNAT実装では、外部から開始されるトラフィック(EIM、EIF)や、ヘアピン(トラフィックをループさせて内部に戻す)する必要のあるプロトコルは、一切許可されていません。

サービスプロバイダーに求められる高水準の要件

キャリアネットワーク、大企業、高等教育機関、ISPは、消費者や中小企業のネットワークよりもはるかに高度なキャリアグレードNAT(CGNAT)機能を必要とします。これらのネットワークには、パフォーマンス、信頼性、管理性の重要な要件もあるからです。

• パフォーマンス - キャリアグレードのNATソリューションは、数百万の同時ネットワーク接続をサポートする必要があります。
• スケールアウト - キャリア向けソリューションには、既存のネットワークトラフィックを中断することなく、必要に応じてスループットを追加できる動的な拡張性が求められます。
• 高可用性 - キャリアグレードのNATソリューションには、ユーザーにサービスを中断させることなく、24時間365日、非常に高い可用性が求められます。このため、コンポーネントに障害が発生した場合でも、セッションを維持したままシームレスにフェイルオーバーすることが求められます。
• 中央管理 - 大規模なNAT/キャリアグレードNATソリューションは、集中ロギングを行うために、主要な中央ネットワーク管理プラットフォームやDevOpsインフラと統合できる必要があります。
• 高度なロギング - インターネットに接続するすべてのデバイスは多数のセッションを生成するため、すべてのセッションを追跡すると膨大な量のログメッセージが生成されます。キャリアグレードNATソリューションは、ポートバッチ、ゼロロギング、コンパクトロギングなどのログ量を削減する高度な技術や、適切で実用的な知見を提供するためのフィルタリングを提供する必要があります。
• セキュリティ - CGNATの導入に絶対不可欠なのは、CGNATプールを標的とした分散型サービス拒否(DDoS)攻撃などの攻撃に対して、特定の詳細なセキュリティと防御を提供する要件です。
• ユーザー割り当て - ISPやモバイルネットワークプロバイダ(MNP)環境では、加入者間のリソース共有の公平性を保つために、1人の加入者が使用できるTCPおよびUDPポートの量を制限する機能が重要です。管理されていない場合、他の加入者の接続性は、外部の攻撃者によって容易に侵害される可能性があります。

IPv6への移行

IPv6は、IPv4の枯渇問題を解決するために、1998年12月にIETFによってドラフト標準として導入され、2017年7月に完全批准されました。導入以来、グローバルでは、デバイス、サービスプロバイダーネットワーク、コンテンツプロバイダーでIPv6導入が徐々に進んでいますが、国によってかなり地理的な差があります。

携帯電話事業者、ISP、モバイル機器メーカーが採用を主導し、より新しい世代のモバイル機器(4G/5G)はIPv4とIPv6の両方をサポートしています。Google、Alexa、Facebook、Yahoo、YouTubeなどの主要なWebコンテンツプロバイダーは、すべてIPv6を導入しています。企業では、既存のネットワークインフラを変更するコストがかかることなどから、一般にIPv6への移行が遅れていますが、その導入は加速しています。

しかし、IPv4が主体のウェブサイトや機器、ネットワークはまだ多数存在しており、サービスプロバイダーや教育機関、企業の多くは、自社のネットワークがIPv6に完全に移行した場合でも、ユーザーや加入者向けにIPv4とIPv6の両方の接続をサポートしなければならないのが現状です。このようなハイブリッド環境の結果、移行プロセスを支援し、IPv4とIPv6のデバイス、ネットワーク、インターネットの宛先間の接続を可能にする技術がいくつか登場しています。これらの技術は、IPv4とIPv6アドレス間の変換を行うか、トラフィックをカプセル化して互換性のないネットワークを通過できるようにします。これらの技術を以下に示します。

モバイルネットワーク事業者は、IPv4とIPv6の両方の加入者を強力に保護するために、キャリアグレードNAT(CGNAT)をファイアウォールと組み合わせることがよくあります。ケーススタディ「中東の通信大手、A10 Networks Thunder CFWでセキュリティをスケールアウト(英語)」をご覧ください。

IPv6への移行：NAT64の場合

NAT64は、IPv6アドレスをIPv4アドレスに、またはその逆に透過的に変換することで、IPv6専用デバイスがレガシーIPv4専用サービスにアクセスすることを可能にします。しかし、NAT64はソリューションの一部に過ぎません。IPv6専用デバイスも、他のデバイスのIPアドレスを解決するためにDNSクエリを実行する必要があります。そのためには、IPv6内部ネットワークでDNS64サーバーを使用することです。

NAT64/DNS64は、IPv6ユーザーをIPv4サービスに接続するために、カプセル化アプローチではなく、プロトコル変換アプローチを使用します。これにより、IPv4経由でのみ利用可能なデータを取得し、IPv6クライアントに返すことができます。

DNS64サーバーはIPv6 DNSリクエストを受け付けますが、ターゲットホストのIPv6アドレスが利用できない場合、ターゲットの既存のIPv4アドレスを埋め込む形でIPv6アドレスを合成しますDNS64使用)。IPv6クライアントは、NAT64ゲートウェイを経由して合成されたIPv6アドレスに接続することができます。NAT64ゲートウェイはリクエストを正しいIPv4アドレスに変換し、IPv4経由でデータが返されると、応答をIPv6に変換して返します。IPv6クライアントには、IPv6以外のものは見えません。

ライフサイクル戦略としてのキャリアグレードNAT

サービスプロバイダーは、既存のIPv4アドレス割り当てを維持するための短期計画と、IPv6インフラにシームレスに移行するための長期計画の両方を含む、ネットワークアドレス移行戦略を実施する必要があります。そのためには、キャリアグレードのNAT機能の堅牢なセットを提供し、IPv4からIPv6への移行のライフサイクル全体に対応するソリューションが必要です。

要旨

CGNATまたはLSNは、長年にわたり大規模なサービスプロバイダー、企業、および高等教育機関のネットワークに導入され、成功を収めてきました。A10ネットワークスが提供するような堅牢なCGNソリューションに、先に述べたIPv6移行技術を組み合わせることで、キャリアグレードNAT(CGNAT)は、IPv4への既存の投資を活用しながら、加入者とユーザーにIPv6へのシームレスな移行パスを提供する、十分に実績のある方法を提供します。キャリアグレードNAT(CGNAT)には、標準的なNATの制限を克服し、大規模なキャリア展開に成功させるための機能がいくつか含まれています。

IETFネットワークワーキンググループとA10ネットワークスなどのCGNベンダーの活動により、キャリアグレードNATは、サービスプロバイダーが希少なパブリックIPv4アドレスを複数の増大する加入者に共有し、IPv4の枯渇と保全に対処しながらIPv6への移行経路を提供できるようになりました。これらのRFC等は、キャリアグレードNAT(CGNAT)の動作を公式化し、将来のアプリケーション開発を促進するものです。

• CGN (draft-nishitani-cgn-05)
• IPv6移行のためのインクリメンタルなキャリアグレードNAT (RFC 6264)
• IPアドレス共有の問題点 (RFC 6269)
• IPv4枯渇に伴うデュアルスタックライトブロードバンドの展開 (RFC 6333)
• IANAが確保した共有アドレス空間用IPv4プレフィックス (RFC 6598)
• 464XLAT ステートフルおよびステートレス変換の組み合わせ (RFC 6877)