キャリアグレードNAT(CGN/CGNAT)とは
キャリアグレードNAT (CGN/CGNAT)
キャリアグレードNAT(CGNAT)とは、通信事業者が加入者とインターネットの間でネットワークアドレス変換(NAT)を行うことで、通信事業者内でもプライベートアドレスを使用できるようにして、パブリックIPアドレスあたりの加入者収容効率を上げる技術です。
インターネットの黎明期(1980年代)、接続されたすべてのコンピュータは、それぞれ固有のパブリックIPアドレスを持つことが予定されていました。IPアドレスは当初、8ビットを4つのオクテットに分割したIPv4という規格で定義され、40億個以上のユニークな値(実際には42億9496万7296個)を持つため、当時は使い切ることはないように思われました。
しかし、1980年代後半になると、インターネットの急激な普及により、この膨大なアドレスが枯渇することが明らかになりました。IPv6はIPv4の後継プロトコルとして構想され、限られたアドレス空間を解決するものでした。しかし、IPv6は後方互換性を持たせておらず、依然としてIPv4アドレスの制限という問題が残っていました。この問題を解決するために、主にサービスプロバイダー向けに作られたのがキャリアグレードNAT(CGNAT)です。
IPv4アドレス枯渇の経緯
1992年6月、インターネットの驚異的な成長の結果、RFC1338「Supernetting: an Address Assignment and Aggregation Strategy」が発行されました。このメモは、「やがて訪れる32ビットIPアドレス空間の枯渇」を論じた最初のものでした。その2年後にRFC1631「The IP Network Address Translator (NAT)」が発行され、解決策を提案しました。
「長期的な解決策ができるまで、IPアドレスの需要を抑える簡単な方法は、アドレスの再利用である」。この解決策は、スタブドメイン内のホストのうち、常にドメイン外との通信を行うホストはごく少数であることを利用したものです。(スタブドメインとは、企業ネットワークなど、ドメイン内のホストを発信または宛先とするトラフィックのみを処理するドメインのこと)。実際、多くのホスト(ほとんどではないにしても)は、スタブドメインの外部と通信することはないため、スタブドメイン内のIPアドレスの一部だけを、外部との通信が必要なときにグローバルに一意なIPアドレスに変換するのです。
IPv6と呼ばれるプロトコルは、IPv4の後継として、またIPv4のアドレス枯渇に対する長期的な解決策として、1998年にドラフト標準(RFC2460)となりました。このプロトコルは128ビットのアドレス空間(合計3.4×1038アドレス、約340兆個)を提供するものでしたが、IETF(Internet Engineering Task Force)がインターネット標準と宣言したのは、それから19年後の2017年7月でのことでした。(RFC 8200)。
標準的なNATとIPv4アドレス
ネットワークアドレス変換(NAT)の本来の設計では、複数のエンドユーザーが内部ネットワークに任意のプライベートアドレス範囲を使用できます。内部ホストを外部ホストにルーティングするために、NATサービスがプライベートIPアドレスをパブリックIPアドレスに変換します。ルーティングがIPv4ネットワーク間の場合、この技術はIPv4からIPv4アドレスへNATすることからNAT44と呼ばれています。下図は、プライベートアドレスをパブリックアドレスに変換するNATを備えたCPE(Customer Premises Equipment)ゲートウェイを簡略化して示したものです。

標準的なNATは、複数のスタブドメイン内部アドレスを1つのグローバルなパブリックアドレスにマッピングします。その逆もまた可能です。消費者や企業のポイントソリューションではうまく機能しましたが、NATの展開はすぐにビジネスネットワークを超えて家庭やモバイルネットワークに拡大しました。顧客のCPEやモバイル機器にはそれぞれパブリックIPアドレスが必要で、消費者の導入が急速に拡大したため、インターネットIPv4の枯渇という問題が深刻化しました。
キャリアグレードNAT (CGNAT)
その結果、ISP、ブロードバンドケーブル、モバイルオペレーターなどのサービスプロバイダーは、パブリックIPアドレスの限られたプールをさらに拡張し、いくつかの独自のパフォーマンスと機能の要件を満たすための技術をすぐに必要としました。IETFのネットワークワーキンググループはこの問題の分析を開始し、2009年から従来のNATを強化するための一連の「コメント要求」(RFC)を発行しました。
IETFのRFCは、大規模NAT(LSN)またはNAT 444とも呼ばれる「キャリアグレードNAT」に対する勧告、展開の制限、要件を提供しています。今日、キャリアグレードNAT(CGNAT)は成熟した技術であり、その運用はIETFのRFCとドラフト文書によって十分に標準化されています。

サービスプロバイダー向けCGNAT
標準的なNATは、プライベートIPv4アドレスをパブリックIPv4アドレスに変換しますが、キャリアグレードNAT(CGNAT)は、さらに変換レイヤーを追加します。これにより、ISPは自社のパブリックIPv4アドレスを保持し、サービスプロバイダーのプライベートIPv4ネットワークを通じて加入者のトラフィックを処理し、独自のプライベートIPv4ネットワークを持つ加入者や企業、複数の拠点やデバイスをサポートすることができます。通常、キャリアグレードNAT(CGNAT)はNAT 444のシナリオで使用され、変換を行います。
- (顧客) プライベートIPv4→(ISP) プライベートIPv4ネットワークアドレス
- (ISP) プライベート IPv4 ネットワークアドレス→(ISP) パブリック IPv4 ネットワークアドレス(インターネットに接続するため)
NAT444 (private to private to public)の導入により、複数の顧客ネットワークが独自の内部ネットワークアドレス空間を持ち、ISPの内部ネットワークアドレス空間を経由して、ISPの単一のパブリックインターネットIPv4アドレスを共有して、インターネットにアクセスすることが可能になります。
NAT444 の展開
下図は、3つの顧客ネットワークがすべて同じ内部IPv4アドレス空間を使用したNAT444(プライベートクラウド、プライベート、パブリック)の展開を示しています。、ISPのプライベートな外部IPv4アドレスが1つのパブリックIPv4アドレスを共有しています。

IPv4の枯渇に対処するのは概念的には簡単ですが、それを大規模に行うのは複雑です。そこで、A10が持つキャリアグレードNAT(CGNAT)の専門知識は非常に重要です。A10のソリューションは、業界標準に準拠しており、運用を簡素化するための拡張機能も備えています。導入事例「UberがIPv4枯渇を大規模に解決(英語)」を参照してください。
NAT64とIPv6への移行について
NAT64は、IPv6のみのクライアントがレガシーIPv4のみのサービスにアクセスすることを可能にする技術です。NAT64デバイスは、クライアントのDNSリクエストのゲートウェイとして機能し(DNS64を使用)、必要に応じてIPv4 DNSレスポンスをIPv6 DNSレスポンスに変換します。
通信事業者のIPv6移行の詳細については、IETF(Internet Engineering Task Force)の仕様「An Incremental Carrier-Grade NAT (CGN) for IPv6 Transition」を参照してください。
キャリアグレードNATのメリット
IPはもともと、ネットワークにおけるエンドツーエンドの原則に従って設計されています。つまり、アプリケーションプロトコルは、中間システムがパケットヘッダやペイロードを変更することなく、ホスト間で直接通信することを想定しています。NATは少なくともIPアドレスを変更し、時には他のプロトコルのヘッダーやペイロードを変更するため、NATは通信を中断させる可能性があります。キャリアグレードNAT(CGNAT)は、従来のNATを大規模に使用する際に発生するこの問題やその他の問題を、以下の機能により解決します。
- アプリケーションレベルゲートウェイ(ALG)は、NATサーバーが通信を中断させる問題を解決するために開発されました。プロキシサーバー技術に基づき、ALGは必要なアプリケーションプロトコルヘッダーとペイロードをインテリジェントに変更し、NATによってルーティングされるプロトコルに適合させます。
- Endpoint Independent Mapping(EIM)、Endpoint Independent Filtering(EIF)、ヘアピニングにより、透過的なNAT接続を実現します。従来のNAT実装では、外部から開始されるトラフィック(EIM、EIF)や、ヘアピン(トラフィックをループさせて内部に戻す)する必要のあるプロトコルは、一切許可されていません。
サービスプロバイダーに求められる高水準の要件
キャリアネットワーク、大企業、高等教育機関、ISPは、消費者や中小企業のネットワークよりもはるかに高度なキャリアグレードNAT(CGNAT)機能を必要とします。これらのネットワークには、パフォーマンス、信頼性、管理性の重要な要件もあるからです。
- パフォーマンス - キャリアグレードのNATソリューションは、数百万の同時ネットワーク接続をサポートする必要があります。
- スケールアウト - キャリア向けソリューションには、既存のネットワークトラフィックを中断することなく、必要に応じてスループットを追加できる動的な拡張性が求められます。
- 高可用性 - キャリアグレードのNATソリューションには、ユーザーにサービスを中断させることなく、24時間365日、非常に高い可用性が求められます。このため、コンポーネントに障害が発生した場合でも、セッションを維持したままシームレスにフェイルオーバーすることが求められます。
- 中央管理 - 大規模なNAT/キャリアグレードNATソリューションは、集中ロギングを行うために、主要な中央ネットワーク管理プラットフォームやDevOpsインフラと統合できる必要があります。
- 高度なロギング - インターネットに接続するすべてのデバイスは多数のセッションを生成するため、すべてのセッションを追跡すると膨大な量のログメッセージが生成されます。キャリアグレードNATソリューションは、ポートバッチ、ゼロロギング、コンパクトロギングなどのログ量を削減する高度な技術や、適切で実用的な知見を提供するためのフィルタリングを提供する必要があります。
- セキュリティ - CGNATの導入に絶対不可欠なのは、CGNATプールを標的とした分散型サービス拒否(DDoS)攻撃などの攻撃に対して、特定の詳細なセキュリティと防御を提供する要件です。
- ユーザー割り当て - ISPやモバイルネットワークプロバイダ(MNP)環境では、加入者間のリソース共有の公平性を保つために、1人の加入者が使用できるTCPおよびUDPポートの量を制限する機能が重要です。管理されていない場合、他の加入者の接続性は、外部の攻撃者によって容易に侵害される可能性があります。
IPv6への移行
IPv6は、IPv4の枯渇問題を解決するために、1998年12月にIETFによってドラフト標準として導入され、2017年7月に完全批准されました。導入以来、グローバルでは、デバイス、サービスプロバイダーネットワーク、コンテンツプロバイダーでIPv6導入が徐々に進んでいますが、国によってかなり地理的な差があります。
携帯電話事業者、ISP、モバイル機器メーカーが採用を主導し、より新しい世代のモバイル機器(4G/5G)はIPv4とIPv6の両方をサポートしています。Google、Alexa、Facebook、Yahoo、YouTubeなどの主要なWebコンテンツプロバイダーは、すべてIPv6を導入しています。企業では、既存のネットワークインフラを変更するコストがかかることなどから、一般にIPv6への移行が遅れていますが、その導入は加速しています。
しかし、IPv4が主体のウェブサイトや機器、ネットワークはまだ多数存在しており、サービスプロバイダーや教育機関、企業の多くは、自社のネットワークがIPv6に完全に移行した場合でも、ユーザーや加入者向けにIPv4とIPv6の両方の接続をサポートしなければならないのが現状です。このようなハイブリッド環境の結果、移行プロセスを支援し、IPv4とIPv6のデバイス、ネットワーク、インターネットの宛先間の接続を可能にする技術がいくつか登場しています。これらの技術は、IPv4とIPv6アドレス間の変換を行うか、トラフィックをカプセル化して互換性のないネットワークを通過できるようにします。これらの技術を以下に示します。
技術名 | タイプ | 加入者端末 | サービス プロバイダー ネットワーク | Web配信先 (インターネット) |
NAT64/DNS64 | Translation | IPv6 | IPv6 | IPv4 |
NAT46 | Translation | IPv4 | IPv4 | IPv6 |
MAP-T | Translation | IPv4 | IPv6 | IPv4 |
464XLAT | Translation (NAT64 + client CLAT) | IPv4 | IPv6 | IPv4/IPv6 |
6rd | Encapsulation | IPv6 | IPv4 | IPv6 |
DS-Lite | Encapsulation | IPv4 | IPv6 | IPv4 |
LW4o6 | Encapsulation | IPv4 | IPv6 | IPv4 |
MAP-E | Encapsulation | IPv4 | IPv6 | IPv4 |
モバイルネットワーク事業者は、IPv4とIPv6の両方の加入者を強力に保護するために、キャリアグレードNAT(CGNAT)をファイアウォールと組み合わせることがよくあります。ケーススタディ「中東の通信大手、A10 Networks Thunder CFWでセキュリティをスケールアウト(英語)」をご覧ください。
IPv6への移行:NAT64の場合
NAT64は、IPv6アドレスをIPv4アドレスに、またはその逆に透過的に変換することで、IPv6専用デバイスがレガシーIPv4専用サービスにアクセスすることを可能にします。しかし、NAT64はソリューションの一部に過ぎません。IPv6専用デバイスも、他のデバイスのIPアドレスを解決するためにDNSクエリを実行する必要があります。そのためには、IPv6内部ネットワークでDNS64サーバーを使用することです。
NAT64/DNS64は、IPv6ユーザーをIPv4サービスに接続するために、カプセル化アプローチではなく、プロトコル変換アプローチを使用します。これにより、IPv4経由でのみ利用可能なデータを取得し、IPv6クライアントに返すことができます。
DNS64サーバーはIPv6 DNSリクエストを受け付けますが、ターゲットホストのIPv6アドレスが利用できない場合、ターゲットの既存のIPv4アドレスを埋め込む形でIPv6アドレスを合成しますDNS64使用)。IPv6クライアントは、NAT64ゲートウェイを経由して合成されたIPv6アドレスに接続することができます。NAT64ゲートウェイはリクエストを正しいIPv4アドレスに変換し、IPv4経由でデータが返されると、応答をIPv6に変換して返します。IPv6クライアントには、IPv6以外のものは見えません。
ライフサイクル戦略としてのキャリアグレードNAT
サービスプロバイダーは、既存のIPv4アドレス割り当てを維持するための短期計画と、IPv6インフラにシームレスに移行するための長期計画の両方を含む、ネットワークアドレス移行戦略を実施する必要があります。そのためには、キャリアグレードのNAT機能の堅牢なセットを提供し、IPv4からIPv6への移行のライフサイクル全体に対応するソリューションが必要です。
要旨
CGNATまたはLSNは、長年にわたり大規模なサービスプロバイダー、企業、および高等教育機関のネットワークに導入され、成功を収めてきました。A10ネットワークスが提供するような堅牢なCGNソリューションに、先に述べたIPv6移行技術を組み合わせることで、キャリアグレードNAT(CGNAT)は、IPv4への既存の投資を活用しながら、加入者とユーザーにIPv6へのシームレスな移行パスを提供する、十分に実績のある方法を提供します。キャリアグレードNAT(CGNAT)には、標準的なNATの制限を克服し、大規模なキャリア展開に成功させるための機能がいくつか含まれています。
IETFネットワークワーキンググループとA10ネットワークスなどのCGNベンダーの活動により、キャリアグレードNATは、サービスプロバイダーが希少なパブリックIPv4アドレスを複数の増大する加入者に共有し、IPv4の枯渇と保全に対処しながらIPv6への移行経路を提供できるようになりました。これらのRFC等は、キャリアグレードNAT(CGNAT)の動作を公式化し、将来のアプリケーション開発を促進するものです。
A10ネットワークスの支援方法
世界中のA10のお客様は、A10のCGNAT/IPv6移行ソリューション A10 Thunder® CGNの導入に成功しています。この技術は、ベアメタル、コンテナ、仮想、物理の各フォームファクターで利用でき、あらゆるネットワーク展開シナリオを大規模に満たすことができます。例えば、国内最大の携帯電話会社の1社では、A10のCGNATソリューションを使って、増え続ける携帯電話やスマートフォンのユーザー向けにIPv4接続を維持しています。また、韓国の大手移動体通信事業者では、5G展開の一環として、CGNATを含むA10の統合型ADC+ファイアウォール A10 Thunder® CFWを導入しています。
A10 Thunder CGNソリューションは、業界標準に準拠した機能豊富なキャリアグレードNAT(CGNAT)ソリューションを提供し、運用を簡素化するための拡張機能も備えています。例えば、アクティブセッション同期技術(複数のアプライアンスがセッションを追跡し、DDoS攻撃やサービス停止時にトラフィックの少ないルートにフェイルオーバーできる機能)による高可用性があります。
A10 Thunder CGNは、優れた処理能力を持つ完全なキャリアグレードNATソリューションでありながら、非常に高いコスト効率(従来のネットワークベンダーに比べ、加入者あたりのコストは通常10倍から100倍低い)を実現しています。A10のハードウェアアプライアンス1台で、大手ネットワークベンダーのNATソリューションの一部である複数の超高額なシャーシベースの処理カードより高い処理能力を提供します。
A10 Thunder® CGNの標準機能は以下の通りです。
- 加入者認識 - この市場向けの完全なキャリアグレードNATソリューションは、個々のネットワーク加入者のレベルまでデータの流れを可視化し、そのサービスを管理・追跡することが可能です。
- 高い透明性 - A10 Thunder CGNは、NAT環境においてシームレスなユーザー体験を提供するための機能をいくつか実装しています。これらの機能は、外部リソースへの透過的なクライアントアクセス環境を提供し、クライアントサーバおよびピアツーピアアプリケーションの両方が設計通りに機能し続けることを保証します。
- Endpoint Independent Mapping(EIM)
- Endpoint Independent Filtering(EIF)、アドレスプーリング、ヘアピニング、ポートプリザベーション
- 公平性とリソースの共有 - A10 Thunder CGNは、セッションとユーザーの両方のレベルで、割り当てられたリソースの量を制御するための機能を提供します。これにより、サービスプロバイダーの要件に従って、ユーザーベースにリソースが公平に配分されるようになります。
- ログファイルのサイズ管理 - A10 Thunder CGNの実装は、ログエントリの数とそのサイズの両方を制限するための多くのログ技術を提供します。
A10 Thunder® CGNは、より多くの機能を備え、より強力であるため、成長するネットワークに適合し、適応することができます。A10の機器は、処理能力とシンプルな管理機能を組み合わせてクラスタ化することができます。IPv4の延命とIPv6への移行のためのA10 Thunder® CGNの詳細については、こちらを参照してください。
こちらの記事にも興味ありますか?
グローバルIPv4アドレス枯渇対策事例と、オンラインゲームにおけるCATVネットワークの課題と対策
ケーブルテレビ株式会社様のIPv4枯渇対策事例と、CGNの導入メリットや近年増加するオンラインゲームトラフィックへの具体的な対応策、また将来的なIPv6への移行について最新トレンドを踏まえてご紹介します。
資料ダウンロード